Zero-Day

인터넷 익스플로러 제로 데이 취약점(CVE-2012-4969) 픽스잇 배포

ASEC에서는 2012년 9월 18일 마이크로소프트(Microsoft)에서 개발한 인터넷 익스플로러(Internet Explorer)에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점인 CVE-2012-4969이 발견되었으며, 이를 악용한 공격이 실제 발생하였음을 알렸다. 미국 현지 시각으로 9월 20일 마이크로소프트에서 해당 CVE-2012-4969 취약점을 제거하기 위한 임시 보안 패치인 픽스 잇(Fix It)을 보안 권고문 “Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution“을 통해 배포 하였다. 이번 마이크로소프트에서 배포하는 픽스 잇은 해당 보안 취약점을 제거하기 위한 임시 방안이며, 향후 정식 보안 패치가 배포되면 해당 보안 패치를 설치하는 것이 좋다. 향후 정식 보안 패치가 배포 되기 전 인터넷 익스플로러를 사용해야만 되는 경우에는 위 이미지에서와 같이 Microsoft Fix it 50939 버전을 다운로드 받아 설치를 진행하면 된다. 그 외 가능하다면 임시적으로 다른 웹 브라우저들인 파이어폭스(Firefox) 또는 구글 크롬(Google Chrome)을 설치하여 사용하는 것이 좋다.

인터넷 익스플로러 버전 7과 8의 제로 데이 취약점 악용

마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 “Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution“를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다. 이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다. 해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다. 이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다. 최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는…

자바 취약점을 악용하는 악성코드들

ASEC에서는 8월 29일 “오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포“를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다. 해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다. 일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 명령은 허용 되지 않는다. 그러나 최근에 발견된 자바 취약점을 악용하는 악성코드 제작자들은 샌드박스를 우회 하기 위해 2가지 방법을 사용하고 있다. 1. 샌드박스 자체 무력화 – CVE-2012-0507 취약점 해당 CVE-2012-0507 취약점은 AtomicReferenceArray에서 발생한다. AtomicReferenceArray 클래스의 경우 시큐리티 매니져에서 ArrayObject에 대한 타입(Type)을 체크 하지 않으며, 해당 배열 생성시 역직렬화를 하고, 역직렬화된 악의적인 코드를 doWork에…

오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포

미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 “ZERO-DAY SEASON IS NOT OVER YET“를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다. 현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다. 이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다. Oracle Java 7 (1.7, 1.7.0) Java Platform Standard Edition 7 (Java SE 7) Java SE Development Kit (JDK 7) Java SE Runtime Environment (JRE 7) 해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며,…

다시 발견된 한글 취약점을 악용한 취약한 한글 파일

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다.  6월 15일 – 한글 제로데이 취약점을 악용한 악성코드 유포 6월 26일 – 알려진 한글 취약점을 악용한 악성코드 유포 7월 5일 – 지속적으로 발견되는 취약한 한글 파일 유포 7월 25 – 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다. 해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다. 해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고…