현재 사용되고 있는 여러 인터넷 익스플로러 버전에서 새로운 제로데이 취약점이 발견됐고, 지금도 공격에 이용되고 있는 것으로 알려져 주의가 요구되고 있다. 이 익스플로잇은 DEP 및 ASLR을 우회할 수 있고 연구진에 따르면 잘 알려진 APT 그룹이 이를 이용 중인 것으로 알려졌다.
 
마이크로소프트는 CVE-2014-1776 IE 취약점에 대한 보안 권고를 발표하고, 이 익스플로잇을 이용한 타깃 공격을 확인한 바 있다고 밝혔다. 이 취약점은 브라우저의 할당된 메모리 해제 후 사용(use-after-free) 취약점으로 인해 발생하고 마이크로소프트 관계자는 여러 공격 시나리오 중 드라이브 바이 다운로드 공격(사용자의 의도와는 다르게 단순 웹 페이지 방문을 통해 악성코드가 유포되고 유포된 악성코드가 PC 또는 모바일 단말에서 동작하도록 유도하는 공격 기법)으로 이용될 가능성이 크다고 전했다.
 
마이크로소프트 보안 권고에 따르면 이번 취약점은 원격 코드 실행 취약점으로 인터넷 익스플로러가 삭제되거나 적절하게 할당되지 않은 메모리에 위치하는 객체에 접근하는 경우 발생한다. 이 취약점으로 인해 메모리 오류가 발생해 공격자가 인터넷 익스플로러 내 현 사용자 환경에 있는 임의의 코드를 실행할 수 있고, 공격자는 인터넷 익스플로러를 통해 이 취약점을 익스플로잇하도록 개발된 가짜 웹사이트를 구축한 후 진짜 웹사이트를 보고 있다고 사용자를 속이는 것이 가능하다.
 
이 버그는 현재 서비스 중인 여러 윈도우 버전에서 구동되는 IE 6 ~ IE 11에 영향을 미친다. 파이어아이(FireEye)의 연구진에 따르면 현 시점에서 타깃 공격에 쓰이는 익스플로잇은 잘 알려진 플래시(Flash) 활용 기법과 함께 이 취약점을 이용하는 것으로 알려졌다. 이 익스플로잇은 IE 9 ~ IE 11을 대상으로 한다.
 
파이어아이의 익스플로잇 분석에 따르면 익스플로잇 페이지는 플래시 SWF 파일을 로딩해 일반적인 기법인 힙 풍수(heap feng shui)를 통해 힙 레이아웃을 조작하며 이를 통해 플래시 벡터 객체가 할당돼 메모리에 배치되고 0×18184000 주소가 사용된다. 또한 flash.Media.Sound() 객체가 포함된 벡터 객체가 할당되고, 그로 인해 차후에 ROP 체인에 대한 피봇 제어 오류가 발생한다.
 
SWF 파일은 IE에서 자바스크립트를 재호출해 IE 버그를 유발시킨 후 힙스프레이에 위치한 플래시 벡터 객체의 길이 필드를 덮어쓴다. 이는 오류가 발생한 벡터 객체를 찾기 위해 힙스프레이를 순환하고 다른 벡터 객체의 길이를 수정하기 위해 힙스프레이를 다시 사용한다. 오류가 발생한 이 다른 벡터 객체는 차후의 메모리 접근을 위해 사용되는데, 이것이 ASLR 및 DEP 우회를 위해 이용된다.
 
이 익스플로잇의 영향력을 완화할 수 있는 몇 가지 방법이 있다. 마이크로소프트 관계자는 EMET 4.1 툴킷을 구축하면 이 익스플로잇을 완화할 수 있다고 권고했고, 파이어아이 연구진은 IE에 설치된 플래시 플러그인을 비활성화함으로써 이 익스플로잇을 무력화할 수 있다고 설명했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com