Microsoft

마이크로소프트 2012년 2월 보안 패치 배포

마이크로소프트(Microsoft)에서 2012년 1월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 2월 15일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 9건으로 다음과 같다. Microsoft Security Bulletin MS12-008 – 긴급 Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (2660465) Microsoft Security Bulletin MS12-009 – 중요 Ancillary Function Driver의 취약점으로 인한 권한 상승 문제점 (2645640) Microsoft Security Bulletin MS12-010 – 긴급 Internet Explorer 누적 보안 업데이트 (2647516) Microsoft Security Bulletin MS12-011 – 중요 Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점 (2663841) Microsoft Security Bulletin MS12-012 – 중요 색 제어판의 취약점으로 인한 원격 코드 실행 문제점 (2643719) Microsoft Security Bulletin MS12-013 – 긴급 C 런타임 라이브러리의 취약점으로 인한 원격 코드 실행 문제점 (2654428) Microsoft Security…

MS11-073 워드 취약점을 악용한 타겟 공격 발생

2012년 2월 10일 미국 보안 업체인 시만텍(Symantec)에서는 블로그 “New Targeted Attack Using Office Exploit Found In The Wild“을 통해 마이크로소프트(Microsoft)에서 2011년 9월 공개한 보안 패치 “Microsoft Security Bulletin MS11-073 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2587634)” 취약점을 악용한 타겟 공격(Targeted Attack)을 발견되었음 공개하였다. 해당 MS11-073 취약점을 악용한 타겟 공격은 이메일을 통해 진행되었으며 ZIP으로 압축된 첨부 파일에는 아래 이미지와 같이 취약한 워드(Word) 파일과 fputlsat.dll(126,976 바이트)이 포함되어 있었다. 취약한 워드 파일을 fputlsat.dll(126,976 바이트)와 동일한 폴더에서 열게 되면 아래 이미지와 같은 워드 파일이 실행된다.  해당 취약한 파일이 실행되면 아래 이미지와 동일하게 fputlsat.dll(126,976 바이트)은 삭제되고 정상 Thumbs.db 파일이 생성된다. 그러나 실제로는 해당 취약한 워드 파일에 의해 윈도우 임시 폴더(Temp)에 ~MS2A.tmp(76,800 바이트)이 생성된다. 생성된  ~MS2A.tmp(76,800 바이트) 파일은 다시 윈도우 폴더(C:WINDOWS)와 윈도우 시스템 폴더(C:WINDOWSsystem32)에 iede32.ocx(13,824 바이트)을 생성하게 된다. 그리고 윈도우…

변형된 MS12-004 취약점 악용 스크립트 발견

ASEC에서는 1월 27일 MS12-004 윈도우 미디어 취약점(CVE-2012-0003)을 악용한 악성코드 유포가 발견되었으며, 마이크로소프트(Microsoft)에서 1월 11일 배포한 보안 패치로 해당 취약점을 제거 할 수 있음을 공개하였다.  그리고 해당 취약점을 악용한 악성코드는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 유포된 것으로 분석하였으며, 최종적으로는 온라인 게임 관련 정보들을 탈취하기 위한 것음을 밝힌 바가 있다. 2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 MS12-004 취약점 악용 스크립트 악성코드 변형이 발견되었다.  이 번에 새롭게 발견된 해당 스크립트 악성코드는 ASEC에서 추가적인 조사 과정에서 1월 30일 경에 제작되어 유포가 진행 된 것으로 추정하고 있다. Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 스크립트 악성코드는 아래와 같은 전체적인 구조를 가지고 있다. Heap Feng Shui는 2007년 Black Hat Europe에서 최초로 발표된 기법으로 순차적인 자바 스크립트(Java Script) 할당을 통해…

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포

2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 “Malware Leveraging MIDI Remote Code Execution Vulnerability Found“를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 “MS12-004  Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)“와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다. 그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다.  해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일…

마이크로소프트 2012년 1월 보안 패치 배포

마이크로소프트(Microsoft)에서 2011년 12월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 1월 11일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다. Microsoft Security Bulletin MS12-001 – Important Vulnerability in Windows Kernel Could Allow Security Feature Bypass (2644615) Microsoft Security Bulletin MS12-002 – Important Vulnerability in Windows Object Packager Could Allow Remote Code Execution (2603381) Microsoft Security Bulletin MS12-003 – Important Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2646524) Microsoft Security Bulletin MS12-004 – Critical Vulnerabilities in Windows Media Could Allow Remote Code Execution (2636391) Microsoft Security Bulletin MS12-005 – Important Vulnerability in Microsoft Windows Could Allow Remote Code Execution (2584146) Microsoft Security Bulletin MS12-006 – Important Vulnerability in…