2020-11-29 19:25 (일)
IE 제로데이 공격, 국내 인터넷 대상 공격…주의!
상태바
IE 제로데이 공격, 국내 인터넷 대상 공격…주의!
  • 길민권
  • 승인 2013.01.02 12:47
이 기사를 공유합니다

국내 화상회의 솔루션 제공 업체 홈페이지 통해 감염 확산중
IE 브라우저 6,7,8 버전에 영향을 미치는 공격이 국내에도 직접 발생한 정황이 빛스캔(대표 문일준)의 PCDS를 통해 탐지되었다. 해당 취약성은 CVE 2012-4792로 취약성 번호가 명명 되었으며 해외에서는 타깃화된 공격에 이용된 정황이 연말에 발견된 바가 있어 주의가 요구된다.
 
빛스캔 관계자는 “해당 취약성은 원격코드 실행 취약성이며 IE 브라우저에서 사용되는 CDwnBindInfo 오브젝트가 사용된 이후 FollowHyperlink2 메소드에 의해 해제될 때 발생되는 취약성”이라며 “또한 해당 취약성은 주로 중국/대만/ 미국을 대상으로 하여 공격이 발생 되고 있다고 보고 되고 있지만 국내 사례는 파이어아이(Fireeye) 발표시점에 발견된 최초의 사례가 존재한다”고 설명했다.
 
이 취약성은 최초 웹사이트를 통해 직접 감염이 가능한 형태로 해외에서 보고가 되었으며 미국 외교자문위원회 홈페이지를 해킹하여 모든 방문자들에게 IE 취약성 공격이 발생된 사례가 지난 12월 27일 Fireeye 사의 블로그를 통해 공개된 바가 있다.
 
빛스캔은 “국내에서 발견된 사례는 지난 12월 26일 발견된 사례이며, 대규모 공격에 활용되지는 않았으나 화상회의 솔루션 제공 업체의 홈페이지에 IE 제로데이 취약성을 이용하는 악성링크가 추가되어 모든 방문자들에게 감염 시도를 한 정황이 최초 발견 된 상황”이라며 “현재는 해당 취약성에 대해 전문분석이 진행 중이며 빠른 시일 내에 빛스캔의 정보제공 서비스 구독 고객사에 전달될 것이며 Exploit-db 게재도 진행될 예정”이라고 밝혔다.  

 
IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로한 공격에는 아직 대규모 공격으로 전이된 정황은 포착되지 않았다. 해당 제로데이 취약성만을 이용한 공격이 발견 된 상황이며, 곧 국내를 대상으로한 공격 도구에 포함되어 적극적으로 활용 될 것으로 예상된다.



 
국내 발견된 사례를 통해 공격코드를 Decode 해보면 Metasploit의 PoC 코드와 유사한 형태를 띄는 것을 확인 할 수 있다.
 
빠른 대응이 필요한 시점이며, 현재 2013년 1월 1일 MS에서는 긴급하게 해당 취약성 공격을 발생 되지 않게 하는 Fix-it을 발표했다. 그러나 정식적인 패치가 아니므로 앞으로도 정식 업데이트가 이뤄지기 이전에는 심각성은 매우 높은 상황이라 할 수 있다. Fix-it은 직접 방문해 설치해야 함으로 당연히 설치 비율은 매우 낮을 것으로 예상된다.
 
국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다. IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다. 
 
2012년 6월에도 MS XML Core Service의 취약성을 이용한 제로데이가 국내에서 대규모로 활용된 사례가 있으며 CVE 2012-1889 취약성은 7월초 MS의 Fix-it이 발표 되었으나 정식 해결책이 아닌 임시방안이라 공격은 계속된 사례가 있다. 7월의 MS 정기패치가 발표된 이후 지금까지도 XML 취약성을 이용한 공격은 계속되고 있어서 이번 IE 제로데이 취약성의 경우도 대규모로 활용될 가능성이 상당히 높은 상태라 할 수 있다.

 
빛스캔 관계자는 “국내 사례인 화상회의 솔루션 업체의 홈페이지의 악성링크는 여전히 라이브한 상태이며 빠른 시일 내에 대규모 공격에 이용될 것으로 판단되어 긴급 대응이 요구된다”며 “빛스캔의 탐지 DB를 이용한 차단 장비 (TriCubeLab)를 이용한 경우 국내 제로데이 공격 악성링크는 즉시 차단된 상태를 유지하고 있다”고 밝혔다.
 
또한 “국내 업체에서 개발한 화상회의 솔루션을 사용하는 기업 및 기관은 IE 브라우저 사용 및 솔루션내의 해당 회사 링크가 있을 경우 감염 위험이 극도로 높으므로 대응을 권고한다”며 “현재 화상회의 솔루션은 국내 수출 관련 대기업과 기관이 다수 사용하고 있는 상태다. 화상회의 솔루션 제공 업체에 대한 문의는 info@bitscan.co.kr로 문의 시에 제한적으로 제공할 것”이라고 덧붙였다.
 
<관련 내용>
-파이어아이측에서 발표한 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생
blog.fireeye.com/research/2012/12/council
 
-exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드
www.exploit-db.com/exploits/23754/
 
-IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it
support.microsoft.com/kb/2794220
 
데일리시큐 길민권 기자 mkgil@dailysecu.com