마이크로 소프트사에서 개발한 웹 브라우저 인터넷 익스플로러(Internet Explorer)6, 7, 8 버전에서 현재(2013년 1월 4일) 보안취약점이 해결되지 않은 Zero-Day 취약점(CVE-2012-4792)을 이용한 공격이 계속 증가하고 있는 것으로 나타났다.
 
잉카인터넷 관계자에 따르면 “해당 취약점은 미국 외교협회(Council on Foreign Relations/CFR) 웹 사이트가 해킹되었다는 소식을 통해서 처음 알려졌다. 이번 취약점은 아직 마이크로소프트사를 통해서 공식적인 보안업데이트가 제공되고 있지 않기 때문에 해킹된 웹 사이트에 접근하는 것만으로도 악성파일에 감염될 수 있는 상황이다. 따라서 인터넷 익스플로러 이용자들의 각별한 주의가 필요하다”고 밝혔다. 현재 해당 취약점은 국내 인터넷을 대상으로도 공격이 진행 중이다.  
 
해당 Zero-Day 보안취약점은 인터넷 익스플로러의 6, 7, 8 등 총 3가지 버전을 사용하는 이용자에게 영향을 미치게 된다. 마이크로 소프트사에서는 다음 주중 보안업데이트를 제공할 예정이며, 현재 임시 보안패치 프로그램인 Fix-it을 제공 중에 있다.
 
해당 웹 브라우저 이용자들은 임시적이라도 Fix-it 프로그램을 설치하여 혹시 모를 보안위협에 대비하는 노력이 필요하다.
 
마이크로 소프트사에는 이번 Zero-Day 공격의 심각성이 높다는 판단하에 신속히 보안 권고문을 등록하고, 임시 보안패치 프로그램(Fix-it)을 우선 제공하고 있다.
-technet.microsoft.com/en-us/security/advisory/2794220
-www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4792
-blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability
 
악성파일은 "Helps.html" 이름의 스크립트를 이용해서 작동된다.
 
"Helps.html" 파일은 해당 스크립트가 특정 브라우저 버전과 중국어, 영어, 대만어, 일본어, 러시아어, 한국어 등의 웹 브라우저에서 작동하도록 언어를 설정하고, "today.swf"라는 플래시 파일과 "news.html"이라는 또 다른 스크립트 파일이 실행되도록 호출한다. "news.html" 파일은 다시 "robots.txt" 라는 파일을 오픈한다.
 
"Helps.html" 악성파일은 "xsainfo.jpg"라는 XOR 기능으로 암호화된 악성파일을 다운로드하고 임시폴더(Temp)에 "flowertep.jpg" 라는 이름으로 생성한다. 그런 다음 다시 파일명을 "shiape.exe" 파일로 변환하고 실행한 후 스스로 삭제한다.
 
"today.swf" 파일 내부에는 Heap Spray 기법을 이용해서 Shellcode 를 삽입한다.
 
Shellcode 작동으로 인해서 "xsainfo.jpg" 이름의 악성파일이 다운로드 시도된다. 이 파일은 내부에 XOR 연산으로 HEX 코드가 암호화되어 있고, 사용자의 컴퓨터에 설치될 때는 "flowertep.jpg" 이름의 파일로 복호화되어 생성된다. 이때 0x83(0x00 무시) 이라는 키를 통해서 복호화된다.
 
복호화된 "flowertep.jpg" 파일은 다시 임시폴더(Temp)에 "shiape.exe" 이름의 악성파일로 생성되고 실행된 후 스스로 삭제된다. 악성파일은 특정 호스트로 접속을 시도하며 공격자의 추가명령을 대기하며, 다양한 해킹시도를 할 수 있다.
 
악성파일의 등록 정보에는 중국어 설명이 포함되어 있어서 제작국가가 중국으로 의심된다는 논란이 있기도 하다.
 
◇IE Zero-Day 취약점 임시 보안 조치
마이크로소프트사에는 2013년 1월 4일 공식 보안업데이트를 제공하고 있지 않기 때문에 취약점에 노출될 가능성이 높다. 마이크로 소프트사에서는 정식 보안패치 이전에 임시로 제공 중인 Fix-it 프로그램을 제공하고 있다.
 
-support.microsoft.com/kb/2794220
-Microsoft Fix it 50971 적용: go.microsoft.com/?linkid=9823138
-Microsoft Fix it 50972 해제: go.microsoft.com/?linkid=9823140
 
잉카인터넷 관계자는 “인터넷 익스플로러 6, 7, 8 이용자들은 반드시 마이크로 소프트사 Fix it 50971을 적용해, Zero-Day 취약점 공격에 노출되지 않도록 주의해야 한다”며 “인터넷 익스플로러 9, 10 사용자들은 해당 취약점으로 부터 영향을 받지 않는다”고 덧붙였다.
 
또 “정식 보안업데이트는 곧 발표될 예정이므로, 윈도우 업데이트를 통해서 패치를 적용하기 전에 "Microsoft Fix it 50971 해제" 프로그램을 실행하여 임시 보안 패치를 제거하시기 바란다”고 권고했다.  
-technet.microsoft.com/en-us/security/bulletin/ms13-jan
 
현 시점에서 가장 현명한 방법은 IE 9 혹은 10 버전으로 업그레이드 하는 것이다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com