취약점

‘항균필름제안서’ 내용의 Follina 취약점(CVE-2022-30190) 공격

지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을 배포한 상황이며, 다양한 자사 제품군(V3, MDS, EDR)에서 탐지가 가능한 상황이다. 해당 공격 시도에 대한 모니터링을 진행하는 상황에서 6월 7일에 국내 사용자를 타겟으로 한 유포 정황이 안랩 ASD(Ahnlab Smart Defence)인프라를 통하여…

주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190)

Follina라 지칭되는 신규 취약점 CVE-2022-30190이 공개되었다. MS에 따르면 해당 취약점은 Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 원격 코드 실행 취약점이 발생한다. 해당 취약점 발생 시 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있으며 추가 프로그램을 설치하거나 데이터 확인 및 변경 또는 삭제가 가능하다. 1. 취약점 악성코드 예시 이 취약점이 확인된 Word문서에서는 기존에 알려진 방식인 External 태그에 작성된 URL 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 및 실행되면서 발생하였다. (현재는 해당 URL이 활성화되어 있지 않아 추가 동작은…

세금계산서로 가장하여 유포되는 Remcos RAT 악성코드

ASEC 분석팀은 세금계산서로 가장한 Remcos RAT 악성코드가 유포되는 정황을 확인하였다. 피싱메일의 내용과 유형은 기존에 본 블로그를 통해 지속적으로 공유했던 형태와 크게 다르지 않다. 메일 본문에는 어색한 문법으로 쓰여진 짧은 메세지가 포함되어있다. 다만 관련업무를 하고있을경우 메일 내용에는 크게 개의치않고 무심코 첨부파일을 실행할 가능성이 있으므로 주의가 필요하다. 첨부파일인 ‘Tax.gz’ 파일을 압축해제하면 ‘Tax.com’ 이라는 실행파일이 존재하며, 디버깅하여 파일 내부를 확인해보면 아래와 같은 코드를 확인할 수 있다. 만약 실행환경이 64비트 환경이라면 ‘hxxp://zhost.polycomusa[.]com/Chrimaz.exe’ 에서 해당 환경에 적합한 악성파일(1df2bf9313decafd0249d6a4556010bc)을 내려받아 실행하며, 그렇지 않을 경우 ‘3xp1r3Exp.ps1’ 이라는…

[공지] Log4j 신규 취약점 (CVE-2021-45105) – Log4j 2.17.0

2021년 12월 18일 Log4j 2.16.0 버전에서 동작하는 CVE-2021-45105 취약점이 추가로 공개되었다. (CVSS 7.5) 1. 취약한 제품 버전 Log4j 2.0-beta9 ~ 2.16.0 버전 2. 취약점 공격 기법 취약점 공격은 Log4j를 사용하는 응용 프로그램에서 layout pattern 과 쓰레드 컨텍스트 기능이 사용되는 경우 발생할 수 있다. 취약한 환경과 이 환경을 공격하는 기법은 다음과 같다. 1) 취약한 환경 [설정] 응용 프로그램이 layout pattern에서 쓰레드 컨텍스트를 조회하는 기능을 사용하도록 설정됨 [log4j2.properties 설정 일부] appender.console.type = Consoleappender.console.name = consoleappender.console.layout.type = PatternLayoutappender.console.layout.pattern = !${ctx:loginId}! %m%nrootLogger.level = ALLrootLogger.appenderRef.file.ref…

[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core

안랩은 Apache Log4j 취약점 보안 업데이트를 권고하고 있다. 가장 심각한(CVSS 10.0) 취약점 CVE-2021-44228은 즉시 보안 업데이트가 필요하다. 운용 중인 시스템에 취약한 Log4j Core 라이브러리가 있는지 확인이 필요하다. 아래는 CVE-2021-44228 취약점 영향을 받는 Log4j-Core 버전별 파일 목록이다. 각 버전별 해시는 Log4j 소스코드를 개별 환경에서 직접 빌드 했을 때는 달라질 수 있다. 출처 [1] https://archive.apache.org/dist/logging/log4j/출처 [2] https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/ 번호 MD5 Hash Log4j Core 버전 1 fbfa5f33ab4b29a6fdd52473ee7b834d log4j-core-2.0.1.jar 2 8c0cf3eb047154a4f8e16daf5a209319 log4j-core-2.0.2.jar 3 152ecb3ce094ac5bc9ea39d6122e2814 log4j-core-2.0-beta9.jar 4 088df113ad249ab72bf19b7f00b863d5 log4j-core-2.0-rc1.jar 5 de8d01cc15fd0c74fea8bbb668e289f5 log4j-core-2.0-rc2.jar 6 8d331544b2e7b20ad166debca2550d73 log4j-core-2.1.jar 7…