|
■ Adobe Acrobat Reader & Flash Player 제로데이 취약점(CVE-2010-1297)
이 달 6월 5일(해외시각)에는 새로운 Adobe Acrobat Reader (PDF) 취약점이 보고 되었다. 해당 취약점은 2009년 07월에 보고되었던 Adobe Acrobat Reader, Acrobat and Flash Player Remote Code Execution(CVE-2009-1862, APSA09-03) 취약점과 유사하게 흥미로운 특징을 가지고 있다.
해당 취약점 또한 직접적인 Adobe Acrobat Reader상의 취약점이라기 보다는 Adobe Flash Player 10.0.45.2 이하에 존재하는 취약점이 동일한 엔진(authplay.dll)을 탑재하고 있는 Adobe Acrobat Reader에 영향을 주는 형태이다.
실제 악성 PDF 파일의 내부를 살펴보면, 다음과 같이 직접적인 취약점을 내포하고 있는 압축된 Flash 파일(SWF 파일)이 포함되어 있다.
[그림 2-5] SWF 파일을 내포하는 PDF
또한, PDF 파일 내부에는 공격자가 원하는 명령을 실행하기 위해 Heap 공간에 쉘코드를 채우는 악의적인 자바스크립트가 압축형태로 포함되어 있다. 이번에 발견된 쉘코드는 ROP(Return Oriented Exploitation)라는 기존의 사용되던 방식과는 다소 다른 형태의 쉘코드가 이용되었다.
[그림 2-6] Heap-Spray 자바스크립트(쉘코드 내포)
내포된 Flash 파일은 PDF 실행과 함께 취약점을 발생시키고 코드의 흐름을 공격자가 원하는 쉘코드로 점프시킨다. 쉘코드는 내부에 포함되어 있는 스트림을 디코딩하여 또 다른 악성코드(“C:\-.exe”-Win-Trojan/Downloader.32256.DF)를 드롭하여 실행하도록 제작되어 있다.
이미 Adobe사는 문제가 해결된 Adobe Flash Player 10.1.53.64 버전을 릴리즈한 상태이고, Adobe Acrobat Reader에 대한 보안패치도 6월 29일로 예고되고 있으므로 사용자들의 빠른 업데이트를 권고한다.
■ MS 윈도우 도움말 및 지원센터(helpctr.exe) 제로데이 취약점(CVE-2010-1885)
MS사에서는 06월 11일(한국시각)에 윈도우 도움말 및 지원센터 취약점에 대한 보안 권고문을 게시하였다. 이후, 6월 15일(한국시간)에는 실제 해외에서 해당 제로데이 취약점을 악용하는 사례가 보고되었다.
해당 취약점은 단순한 오버플로우 취약점이 아니라, 윈도우 도움말 및 지원센터 (helpctr.exe)가 HCP 프로토콜을 처리하는 과정에서의 오류로 인해 Whitelist Bypass 문제와 내부에서 사용되는 html 파일의 크로스사이트 스크립트(XSS) 취약점이 결합된 형태이다.
[그림 2-7] 취약점 스크립트
또한, 공격자는 HCP 프로토콜 요청에 대해서 사용자가 인지하지 못하도록 ASX HtmlView에서 IFRAME을 호출하는 방식으로 사용하고 있다.
실제로 해당 취약점은 다수의 단계를 거쳐서 발생하게 되고, 크로스사이트 스크립트(XSS) 취약점을 통해서 실행되는 자바스크립트 코드는 시스템 상에 또 다른 악성코드(Dropper/Selite.13193076)를 드롭하도록 이용되고 있다.
[그림2-8] XSS 자바스크립트
해당 취약점에 대한 아주 활발한 공격사례는 보고되고 있지 않으나, 현재 MS사 에서는 해당 취약점에 대한 정식 보안 업데이트를 배포하고 있지 않기 때문에 여전히 제로데이 취약점 악용 가능성이 남아있다.
■ 침해 사이트 Case Study: 방송사 악성코드 유포사례
기존의 취약점을 이용한 악성코드 유포 사례는 특이한 점이 없었지만 [그림 2-3]에서도 볼 수 있었듯이 이번 달은 MS10-018 취약점을 사용한 악성코드 유포사례가 국내 사이트에서 상당수 발견되었다. 그 중에 침해사고가 발생한 방송사 사이트를 통해서 MS10-018취약점을 사용하여 악성코드가 유포되었던 건에 대해서 간단하게 정리해 보았다.
악성코드 유포가 유포되었던 방송사의 사이트 구조를 간단하게 나타내자면 아래와 같다.
[그림 2-9] 악성코드를 유포했던 방송사의 사이트 구조
하위 사이트들은 메인 사이트에서 필요한 콘텐트들을 링크하는 방식으로 구성되어 있었고, 이번 경우 메인 사이트의 특정 웹 페이지에 악성코드 링크가 삽입되어 있어 모든 하위 사이트에 영향을 받게 되어 있었다.
http://tri.*****.co.kr/(*****기술연구소')
L http://www.*****.co.kr/menu_js/displayobject.js
L http://www.*****.co.kr/menu_js/sub_navi_01.js
L http://www.*****.co.kr/menu_js/sub_top.js
L http://intranet.*****.co.kr/INTRANET_COM/col**.asp (CVE-2010-0806, MS10-018)
L http://www.*****.org/common/jscalendar/doc/cl**.exe
|
