MS10-087 취약점 악용 워드 악성코드 발견

최근 몇 년간 악성코드 유포에 사용되고 있는 취약점들은 대부분이 웹 브라우저(Web-Browser) 또는 웹 어플리케이션(Web Applications)과 관련된 것들이 많았으며, 특히 최근에는 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 CVE-2011-2110 취약점을 악용한 악성코드 유포가 증가하고 있어 주의가 필요함을 ASEC에서 알린 바가 있었다.

웹 어플리케이션과 관련한 취약점외에도 전자 문서에서도 역시 어도비에서 개발한 아크로뱃 리더(Acrobat Reader) 파일 포맷인 PDF에 존재하는 취약점을 악용해 악성코드 유포를 시도한 사례가 다수 존재하고 있으며, 그 다음으로 마이크로소프트(Microsoft)에서 개발한 워드(Word)에 존재하는 취약점을 악용한 사례도 다수 발견되고 있다.

특히 최근에 발견되는 워드 취약점을 악용한 악성코드의 경우에는 2010년 11월 배포한 MS10-087 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)” 취약점을 악용하는 사례가 대부분을 차지하고 있으며, 2011년 3월 일본에서 발생한 대지진 재난을 악용한 악성코드 유포, 2011년 5월 오사마 빈 라덴(Osama Bin Laden)이 사망을 악용한 악성코드 유포 사례들에서도 해당 취약점이 악용 되었다.

최근 다시 아래 이미지와 같은 파일명들로 MS10-087 취약점을 악용한 악성코드들이 발견되고 있으며, 이러한 취약한 워드 파일 형태의 악성코드는 메일의 첨부 파일로 유포되는 사례가 다수를 차지하고 있음으로 메일에 첨부된 워드 파일에 대해서는 각별한 주의가 필요하다.

발견된 취약한 워드 파일들은 모두 아래 이미지와 같이 사용하는 쉘코드(Shellcode)만 조금씩 다르게 조작되어 있다.

앞서 언급한 바와 같이 PDF와 워드에 존재하는 취약점을 악용한 공격의 경우 2011년 4월 알려진 RSA 침해사고에서와 같이 메일의 첨부 파일 형태로 타킷 공격(Targeted Attack)에 악용됨으로 사용하는 제품에 맞는 보안 패치를 설치하는 것이 보안 위협에 노출되는 것을 근본적으로 차단할 수 있다.


이 번에 발견된 MS10-087 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Dropper/Cve-2010-3333

그리고 마이크로소프트에서 제공하는 윈도우(Windows) 운영체제와 오피스(Office) 보안 패치들은 다음 웹 사이트를 통해 설치가 가능하다.


Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments