익스플로러

독일 은행을 노리는 스파이아이 변형 발견

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다. 이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다. 이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다. 추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다. 해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의…

인터넷 익스플로러 긴급 보안패치 예정

얼마전 인터넷 익스플로러에 대한 취약점(981374, CVE-2010-0806)이 권고되었습니다. 해당 취약점은 현재 MS에서 공식 패치를 내놓지 않은 상태이며 임시적으로 DEP를 활성화 하거나 인터넷 익스플로러 8 버전 사용을 권장하고 있었습니다. [해당 취약점에 대한 자세한 내용 링크] 다수의 Zeroday 취약점 권고! : http://core.ahnlab.com/132 인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 : http://blog.ahnlab.com/asec/271 보안 권고 981374 : http://www.microsoft.com/kore/technet/security/advisory/981374.mspx 하지만 해당 취약점에 대한 공격 및 악성코드가 다수 전파되어 마이크로소프트에서 긴급하게 한국시각으로 내일 3월 31일 수요일 오전 2시 경에 보안패치가 제공될 예정입니다.최근 국가적으로 이슈가 되고 있는 천안함 침몰 관련 악성코드 메일 유포 또한 해당 취약점을 이용한 공격이며 다수의 사이트에서 해당 취약점을 이용하여 악성코드를 유포하고 있는 만큼 보안패치가 나오는대로 설치를 하시기 바랍니다.

다수의 Zeroday 취약점 권고!

금일 MS 보안패치가 나오자 마자 바로 0-Day 취약점들이 쏟아져 나왔습니다. 모두 Microsoft Windows와 Office 관련 취약점으로 이미 해당 취약점 중 익스플로러 관련 취약점은 악성코드 유포에 사용된 것으로 보입니다. Microsoft Movie Maker Buffer Overflow http://www.iss.net/threats/362.html Microsoft Excel XLSX code execution http://www.iss.net/threats/363.html Microsoft Internet Explorer use-after-free code execution http://www.iss.net/threats/364.html 위 취약점 들 중 엑셀 관련 취약점은 금일 배포된 보안패치로 해결이 가능한 취약점 입니다. (관련 링크 : http://core.ahnlab.com/131) 현재 가장 이슈가 되고 있는 것은 이미 Internet Explorer 관련 취약점 입니다. 현재 알려진 바로는 이미 악성코드 유포에 사용되었으며 아래와 같은 파일명으로 유포가 되었다고 합니다. * 20100307.htm (CVE-2010-0806 exploit)     * bypasskav.txt (part of exploit obfuscation code)           o notes.exe (backdoor installer)                 + note.exe (backdoor installer copy)                 + clipsvc.exe (backdoor installer copy)                      …

Microsoft Windows “MsgBox()” HLP File Execution Vulnerability

금일 인터넷 익스플로러에 대한 새로운 0-Day 취약점이 발표되어 알려 드립니다. 해당 취약점은 VBScript를 이용하여 Internet Explorer 6, 7, 8의 Windows Help(.hlp)를 호출할 수 있다고 합니다.  이러한 취약점을 이용하여 공격자는 원격지에서 원하는 코드를 실행할 수 있습니다. 게다가 Windows Help 에 대한 오버플로우 취약점 역시 존재 한다고 합니다. 현재 해당 취약점을 이용하여 실제 공격으로 이루어진 사례는 발견되지 않았지만 아래와 같이 웹사이트 방문시 F1키의 입력을 요구한다면 누르지 않도록 주의하기 바랍니다.   그리고 패치가 나오기 전 아래 명령어를 이용하여 winhlp32.exe 파일에 대한 권한을 변경시켜 임시적으로 예방할 수 있습니다. [권한 변경 방법] cacls “%windir%winhlp32.exe” /E /P everyone:N [패치가 나온 후 복구 방법] cacls “%windir%winhlp32.exe” /E /R everyone

Internet Explorer 6/7 제로데이 취약점 주의!

1. 들어가기에 앞서  Internet Explorer 6, 7버젼에서 새로운 신규 취약점이 보고 되었습니다. 현재(09. 11. 25)까지 마이크로소프트에서는 공식적인 패치를 내놓지 않은 상황입니다. 2. 자세한 내용   해당 취약점은 특정 CSS/Style object를 처리하는 과정에서 Crash가 일어나는 취약점으로 현재 많은 사이트에 공개된 코드는 단순 POC (Proof Of Concept) 코드이며 아직까지 해당 취약점을 이용한 악성코드는 발견되지 않았습니다. 하지만 지금까지 이러한 익스플로러 관련 취약점은 이전에 보고된 MS09-032나 MS09-043 등 웹페이지에 삽입하여 공격하기 쉬운 형태이므로 충분히 악성코드로 나올 가능성이 높습니다. [그림] 공개된 POC 코드 중 일부 3. 대응 방안  여러 대응 방안이 있지만 일부 사이트에서 ActiveX 스크립팅 설정을 해제하는 방법으로 가이드를 하고 있습니다. 하지만 이러한 방법도 대응 방안 중 한 방법이지만 웹사이트가 정상적으로 동작하지 않을 수 있으므로 가급적 아래 방법을 권장하는 바입니다. 1) 인터넷 익스플로러 8으로…