2019-12-12 05:10 (목)
Red Alert팀, IE 제로데이 취약점 분석보고서 발표
상태바
Red Alert팀, IE 제로데이 취약점 분석보고서 발표
  • 길민권
  • 승인 2012.09.20 14:49
이 기사를 공유합니다

해당 취약점 이용한 악성코드 유포 방식과 대처방안 공개
마이크로소프트사에서 제공하는 ‘Internet Explorer’ 웹브라우저의 제로데이 취약점(CVE-2012-4969)을 이용한 악성코드 유포행위가 최근 확인됐다. 20일 NSHC(대표 허영일) Red Alert팀은 해당취약점(CVE-2012-4969)에 대한 자세한 분석 보고서를 발표했다.
 
보고서에는 “이 취약점은 Image Arrays Remote Code Execution 취약점으로써, 2012년 8월에 확인된, Oracle Java Zero-day 취약점(CVE-2012-4681)을 유포했던 중국조직이 이용했던 서버와 동일한 것”이라고 전했다. 
 
또 “최초로 악성코드가 유포된 것으로 보고 된 사이트는 9월 14일 발견된 이탈리아의 겨울용품사이트다. 현재 해당 사이트는 접속자체가 차단조치 된 상태이며, 익스플로잇 파일들은 제거된 상태다”라며 “하지만 보안패치가 발표되지 않은 상태에서 추가로 유포 될 가능성이 있어 위험성이 존재하고 대부분 윈도우 환경에서 메모리보호기법을 우회하고 악성코드가 실행될 수 있으므로 각별한 주의가 요구된다”고 당부했다.
 
Red Alert팀 취약점 분석 보고서는 이 취약점(CVE-2012-4969)을 이용한 악성코드 유포 방식에 대해 다음과 같이 설명한다. “악의적으로 조작된 사이트에 접속을 시도한 사용자가 ‘exploit.html’ 파일과 암호화된 ‘Moh2010.swf’ 파일을 불러오게 한다. 이를 통해 Heap spray를 유도하고, iframe 방식으로 추가된 ‘Protect.html’ 파일을 불러오게 해 XOR 암호화가 적용된 ‘111.exe ’파일을 실행한다. 공격에 노출된 시스템은 “C:WINDOWSsystem32mspmsnsc.dll” 파일을 생성하며, ‘WmdmPmSN’서비스항목을 등록해, 시스템 시작시 자동실행 되도록 구성되어 있다. 확인된 C&C Server는 미국에 위치한 “ie.aq1.co.uk(12.163.32.15)”Server로 확인되었다. 해당 취약점(CVE-2012-4969)은 삭제되거나 임의의 위치에 할당된 객체를 ‘Internet Explorer’가 불러오는 과정에서 발생한다”고 분석했다.
 
이번 공격에 대한 5가지 대응법도 소개했다. 우선 윈도우 서버에는 기본적으로 인터넷 익스플로러 이용시 보안이 강화된 상태에서 실행되기 때문에 공격 영향에 대한 피해를 최소화할 수 있다.
 
다음 마아크로소프트사의 HTML 사이트 로드 프로그램을 이용하라는 것. 아웃룩이나 윈도우 메일은 제한된 권한에서 HTML 이메일 서비스 사용을 지원한다. 즉 스크립트 및 액티브X가 비활성화되는 제한된 영역에서 이메일 서비스를 이용할 수 있으므로 취약점에 대한 위협을 감소시킬 수 있다.
 
또 해당 취약점을 통한 익스플로잇은 대상 시스템의 현재 권한과 동일한 권한을 획득한다. 공격을 당하는 피해자 시스템에서 사용자 계정을 이용하고 있다면 공격자로부터 시스템이 장악된다 해도 공격자의 권한이 제한되므로 피해를 줄일 수 있다.
 
악성코드를 유포할 목적으로 제작된 사이트라 할지라도 사용자가 해당 취약점이 존재하지 않는 기타 브라우저인 크롬, 파이어폭스, 모질라, 사파리 등을 이용하게 되면 공격으로부터 안전할 수 있다는 것.
 
마지막으로 마이크로소프트사에서 제공하는 공격방지 툴킷을 사용하는 것. 해당 툴킷은 공격자의 공격을 비교적 어렵게 만들 수 있도록 설계되어 위협으로부터 보호받을 수 있다고 한다.
 
이번 IE 제로데이 취약점에 대한 상세 분석보고서를 받아 보려면 NSHC Red Alert팀 페이스북 페이지에서 다운로드 할 수 있다.
- NSHC Red Alert팀: www.facebook.com/R3d4l3rt.Notice?ref=stream
 
데일리시큐 길민권 기자 mkgil@dailysecu.com