脆弱なソフトウェアおよび概要
MagicLine4NX は韓国国内の Dream Security 社が製造した Non-ActiveX 公認認証書プログラムである。ユーザーは MagicLine4NX プログラムを利用して、公認認証書ログインと、取引内容についての電子署名を行うことができる。このプログラムはスタートアッププログラムに登録されており、プロセスが終了しても特定サービス(MagicLine4NXServices.exe)によって再実行され、一度インストールされるとプロセスに常駐するため、脆弱性攻撃にさらされることがある。そのため、最新バージョンへのアップデートが必要である。
脆弱性の説明
この脆弱性は、AhnLab が最初に発見、および通報した脆弱性で、脆弱なバージョンの MagicLine4NX で遠隔コード実行脆弱性(RCE)が発生する可能性がある。
パッチの対象およびバージョン
MagicLine4NX 1.0.0.1~1.0.0.26 バージョン
脆弱性悪用ログ(Lazarus)
当社 ASD(AhnLab Smart Defense)インフラを通して、脆弱性を悪用した事実が確認された。攻撃者はこの脆弱性によって svchost.exe プロセスにインジェクションし、不正なプログラムをダウンロードして実行していた。
解決方法
脆弱なバージョンの MagicLineNX がインストールされている場合は削除
- バージョンの確認方法
- [PC] – [Local Disk(C:\)] – [Program Files(x86)] – [DreamSecurity] – [MagicLine4NX] パスに移動
- MagicLine4NX で右クリック – プロパティ – 詳細タブをクリック – ファイルバージョンを確認
- プログラムのアンインストール方法(選択1)
- [スタートアップ] – [システム] – [コントロールパネル] – [プログラムおよび機能] – MagicLineNX 選択 – [アンインストール]をクリック
- [PC] – [Local Disk(C:\)] – [Program Files(x86)] – [DreamSecurity] – [MagicLine4NX]パスに移動 – MagicLine4NX_Uninstall.exe プログラムを実行
[検知]
Injection/MDP.Lazarus.M4503
[Reference]
- https://knvd.krcert.or.kr/detailSecNo.do?IDX=5887
- https://atip.ahnlab.com/ti/contents/security-advisory?i=f11a94eb-ac24-4feb-9552-3af49c8e6afd
- https://atip.ahnlab.com/ti/contents/issue-report/forensic?i=ab4b6510-f7b0-46ef-9cd3-3489348b2de4
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 対応ガイド