취약점

연봉 계약서로 위장한 취약한 한글 파일 발견

ASEC에서는 지속적으로 국내 관공서 등에서 많이 사용되는 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 공격에 대해 알린 바가 있다. 이러한 한글 소프트웨어의 취약점을 악용하는 공격 형태는 10월 24일 대통령 선거 공약 관련 내용으로도 유포 된 바가 있다. 10월 25일에는 일반 기업들의 연봉 계약서 내용으로 위장하여 유포된 취약한 한글 파일이 발견되었다.  이 번에 발견된 취약한 한글 파일은 “연봉계약서.hwp (1,015,812 바이트)” 라는 파일명을 가지고 있으며, 이를  열게 되면 아래 이미지와 같은 내용을 가지고 있다. 해당 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플 로우로 인한 코드 실행 취약점이다. 해당 취약점은 2012년 6월에 발견되었으며, 당시 제로 데이(Zero-Day,0-Day) 취약점으로 발견되었다. 해당 취약한 한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 “system32.dll (81,920 바이트)”를 다음 경로에 생성하게 된다. C:Documents and SettingsTesterLocal SettingsTempsystem32.dll 그리고 생성한 system32.dll 는…

대통령 선거 관련 내용을 담은 취약한 한글 파일 발견

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다. 2012년 10월 19일 – 국방 관련 내용을 담은 취약한 한글 파일 발견 2012년 10월 10일 – 한글 소프트웨어의 제로 데이 취약점 악용 악성코드 2012년 10월 09일 – 전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 2012년 09월 21일 – 다양한 전자 문서들의 취약점을 악용한 악성코드 2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고…

한글 소프트웨어 보안 패치 배포

ASEC에서는 10월 10일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 시도가 발견되었다고 공지 한 바가 있다. 10월 18일부터 한글 소프트웨어 개발사인 한글과 컴퓨터에서 해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 배포 중에 있다. 이 번 보안 패치의 대상이 되는 한글 소프트웨어는 다음과 같다. 한글 2002 5.7.9.3058 및 이전버전 한글 2004 6.0.5.776 및 이전버전     한글 2005 6.7.10.1083 및 이전버전 한글 2007 7.5.12.652 및 이전버전 한글 2010 8.5.8.1278 및 이전버전     해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다. [한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를…

국방 관련 내용을 담은 취약한 한글 파일 발견

2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다. 특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다. 10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 “군환경교육계획(2012).hwp (1,044,996 바이트)”와 “우리도 항공모함을 갖자.hwp (240,285 바이트)”의 파일명으로 유포되었다. 취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다. 해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다. 첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 “system32.dll (65,536 바이트)” 가 다음 경로에 생성 된다. C:Documents and Settings[사용자 계정명]Local…

대만 기상청을 대상으로한 타겟 공격 발견

어도비 리더(Adobe Reader)와 마이크로소프트 오피스(Microsoft Office)와 같은 전자 문서에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들은 지속적으로 발견되고 있다. 10월 17일 ASEC에서는 대만의 기상청 내부 직원을 대상으로한 타겟 공격(Targeted Attack)이 발생하였음을 발견하였다. 이번 대만 기상청의 내부직원을 대상으로한 타겟 공격은 아래 이미지와 동일한 이메일을 통해 진행되었다.  해당 이메일들에는 첨부된 전자 문서는 “個人資料同意申請書.doc (247,200 바이트)”,  “中央氣象局颱風資料庫研究用帳號申請表.doc (248,224 바이트)” 그리고 “國立中央大學大氣科學系通訊錄.xls (146,432 바이트)” 파일이 첨부되어 있었다. 첨부된 전자 문서 파일들은 개인정보 동의 신청서와 기상 관련 자료들 인것으로 위장하여 이메일의 수신인이 문서를 열어보기 쉬운 파일명을 사용하고 있다. 그리고 워드 문서의 경우에는 CVE-2012-0158 취약점을 악용하며 보안 권고문 “Microsoft Security Bulletin MS12-027 – 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)” 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다. 그리고 취약한 전자 문서 파일들은 공통적으로 원격 제어가 가능한 백도어 형태의…