윈도우 도움말 센터의 제로 데이 취약점 악용

한국 시각으로 2010년 6월 15일 23시경 독일을 포함한 유럽 일부 지역에서 마이크로소프트(Microsoft) 윈도우 도움말 센터(Windows Help and Support Center)에 존재하는 제로 데이(0-Day, Zero-Day) 취약점인 CVE 2010-1885을 악용한 악성코드가 유포되었다.


악용된 마이크로소프트 윈도우 도움말 센터에 존재하는 알려지지 않은 취약점은 현재 마이크로소프트에 의해 보안 패치가 제공되지 않는 제로 데이(0-Day, Zero-Day) 취약점임으로 각별한 주의가 필요하다.

현재 마이크로소프트에서도 해당 제로 데이 취약점에 대해 인지하고 관련 “Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution” 보안 권고문을 게시하였다.

ASEC에서 파악한 바로는 유럽 일부 지역에 위치한 웹 서버 약 20대에서 해당 취약점을 악용한 악성코드가 유포 되었으나 현재는 모두 제거된 것으로 알려져 있다.

이 번에 악용된 제로 데이 취약점은 윈도우의 도움말 센터의 호출 구조(HCP)에서 문제가 발생하여 코드를 실행 할 수 있게 되는 코드 실행 취약점이다.

해당 취약점을 악용한 악성코드 역시 최종적으로 트로이 목마 형태의 다른 악성코드를 다운로드 후 실행하는 형태로 되어 있으며 전체적인 구조를 도식화 할 경우에는 아래 이미지와 같다.

윈도우 도움말 센터에 존재하는 제로 데이 취약점을 악용한 악성코드들은 스크립트 형태로 존재하며 위 이미지와 같이 총 3 단계 형태로 되어 있다.
첫 번째 사용되는 launchurl.html 형태의 스크립트는 simple.asx 파일이 존재하는 미국의 특정 시스템으로 연결하는 역할을 수행하게 된다.

두 번째로 사용되는 simple.asx 형태의 스크립트는 특정 공격 방식을 사용하여 simple.asx 파일이 존재하는 미국의 특정 시스템으로 연결하는 역할을 수행하게 된다.

세 번째로 사용되는 starterhelp.html 형태의 스크립트는 직접적으로 취약점을 악용하는 악성코드이며 해당 스크립트가 실행되면 미국에 위치한 동일한 특정 시스템에서 test.js를 실행 한 후 해당 시스템에서 트로이목마 형태의 다른 악성코드를 다운로드 한 후 실행하도록 하고 있다.

다운로드 된 후 실행되는 트로이목마 형태의 악성코드는 다음 test.js 파일의 이미지와 같이 동일한 미국 특정 시스템에 존재하고 있다.

해당 트로이목마는 인위적으로 조작된 Inno Setup 파일로서 원본 파일은 웹 브라우저인 파이어폭스(Firefox) 의 플러그인 설치를 목적으로 하고 있으나 해당 취약점을 악용한 공격자에 의해 해당 설치 파일 내부에 다른 악성코드를 포함하고 있다.

해당 악성코드들은 다음의 악의적인 기능을 수행하도록 되어 있다.

웹 브라우저 파이어 폭스를 통해 입력되는 암호 수집
시스템 하드웨어 정보 수집
접속한 웹 사이트들의 접속 기록 수집

이번 마이크로소프트 윈도우 도움말 센터의 제로 데이 취약점을 악용한 악성코드와 이와 관계된 다른 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Exploit/Cve-2010-1885
Dropper/Selite.13193076
Win-Trojan/Selite.382464
Win-Trojan/Selite.44944
현재 마이크로소프트에서는 해당 윈도우 도움말 센터에 존재하는 취약점에 대한 보안 패치를 제공하지 않고 있으나 임시 방편으로 픽스잇(Fix it) 50459를 배포 중에 있다.
배포 중인 픽스잇(Fix it) 50459는 윈도우 레지스트리(Registry)를 조작하여 윈도우 도움말 센터의 HCP 프로토콜을 임시적으로 중단 시키도록 한다.

현재 발생한 해당 윈도우 도움말 센터의 제로 데이 취약점을 악용한 악성코드는 웹 사이트를 통해 유포를 시도하였으나 차후에는 메일을 통한 타켓 공격(Target Attack) 또는 트위터(Twitter) 및 페이스북(Facebook)과 같은 소셜 네트워크 서비스(Social Network Service) 웹 사이트에서 많이 사용되는 단축 URL(URL Shortening) 등에서도 사용될 가능성이 높은 것으로 분석 된다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments