한글 제로데이 취약점을 이용한 악성코드

지난 2015 5 12일 한글 프로그램 최신 패치버전에서 동작하는 제로데이 취약점 파일이 접수되어 사용자의 각별한 주의가 요구된다.

취약점이 발생하는 프로그램은 한글2007, 2010, 2014 버전이 모두 해당되며 2015 3 31일 업데이트 된 최신 패치가 적용된 상태에서도 동작하도록 제작되었다. 취약점 발생 이후에는 다운로더 기능의 악성파일을 생성하며 주기적으로 특정 사이트로 접속을 시도한다.

V3 에서는 취약점 한글 파일을 “HWP/Exploit”(V3: 2015.05.12.02) 으로, 취약점 발생 이후 생성하는 악성파일을 “Win-Trojan/Hwdoor.107620″(V3: 2015.05.12.02) 로 진단한다.

취약점 피해를 예방하기 위해 아래의 한글과컴퓨터에서 제공한 2015.05.21 일자 보안 업데이트를 다운로드 받아 설치하거나, 자동 업데이트를 통해 한글 최신버전으로 업데이트하는 작업이 필요하다.

       http://www.hancom.com/downLoad.downPU.do?mcd=001

 

취약점 발생원인은 한글의 본문에 해당하는 'HWPTAG_PARA_TEXT' 레코드에 사용된 확장 컨트롤(0x03) 조작을 통해 공격자가 설정한 주소로 분기를 통해 발생하며, 아래의 [그림-1]은 취약점 한글문서의 Section별 구조를 나타낸다.

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments