본문 바로가기
취약점소식

[MS] Internet Explorer 원격코드 실행 신규 취약점 주의 권고(0-Day : CVE-2012-4969)

by 잡다한 처리 2012. 9. 18.
반응형


2012년 9월 14일 외국에서 iexplorer의 대한 0-Day가 발견되었다.

이번에 발견 된 Internet Explorer 취약점은 Html 파일을 랜더링 하는 과정에서 메모리를 손상시켜 사용자가 컨텍스트에서 
임의의 코드를 실행할 수 있다는 내용이다. 

- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)


마이크로 소프트에서는 이번 취약점을 CVE-2012-4969 으로 명명하고, 추가 긴급 업데이트를 준비 중일 듯 하다.
(재미있는 부분은 지난 Java 7 제로데이 취약점을 이용했던 서버에서 발견되어, 기존에 제로데이를 만든 그룹에서 다시 만든것으로
추정된다고 한다.)

■ 영향을 받는 소프트웨어
- Internet Explorer 6 : Windows XP, Windows Server 2003
- Internet Explorer 7 : Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008
- Internet Explorer 8 : Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008
- Internet Explorer 9 : Windows Vista, Windows 7, Windows Server 2008

■ 영향을 받지 않는 소프트웨어
- Internet Explorer 10


이번에 발견 된 취약점의 흐름표는 아래와 같다.




1. exploit.html에서는 Moh2010.swf 라는 파일을 호출한다.




2. Moh2010.swf 파일은 DoSWF라는 swf 파일을 암호화 하는 툴에 의해 지정되어 있으며, 암호화를 해제하면 Protect.html을
호출하게 된다. 




3. Protect.html 파일은 실질적인 Exploit을 실행하는 코드로써, Moh2010.swf 파일 속에 존재하는 ShellCode를 동작시켜
111.exe라는 파일을 다운로드 하게 된다. 




4. 실제 ShellCode는 0x2E 로 XOR 되어있으며, XOR 후 다운로드 할 URL이 존재한다.


5. 다운로드 된  111.exe는 특정한 XOR값으로 암호화 되어 있으며, 암호화 해제 후 동작되면 아래의 파일을 생성한다.

C:\Documents and Settings\[사용자계정]\Local Settings\Temp\5279640(랜덤8자리).dat - 자기자신 복제
C:\WINDOWS\system32\mspmsnsv.dll - 백도어 파일

정상 파일인 mspmsnsv.dll 를 변조시키며, 정상 프로세스인 svchost.exe에 인젝션 되어 동작된다.
특정서버(67.215.65.132:80, ie.aq1.co.uk)로 접속을 시도하지만 분석 시 접속이 되진 않았다.


전체적인 알약 탐지는 아래와 같다.

http://62.***.***.***/public/h***/exploit.html (Exploit.HTML.Downloader)
http://62.***.***.***/public/h***/Moh2010.swf (Exploit.SWF.CVE-2012-0779) 
http://62.***.***.***/public/h***/Protect.html (Exploit.HTML.SWFLoader)
http://62.***.***.***/public/h***/111.exe (Trojan.Dropper.Poison.16896)

드롭퍼에 의해 생성 된 파일(정상파일 변조)
C:\Windows\System32\mspmsnsv.dll (Backdoor.Poison.10240)



제로데이 공격은 패치가 없기 때문에 IE 사용을 최소한으로 사용하고,
                                 크롬이나 사파리다른 브라우저를 사용하길 권장한다.


댓글