본문 바로가기
IT 보안소식

Adobe PDF 취약점으로 인한 주의(/Launch /Action 명령어)

by 잡다한 처리 2010. 4. 15.
반응형

우려했던 일이 발생했다 ㅡ.ㅡ;;
젠장 ㅠ_ㅠ

이번 취약점은 PDF문서를 실행 시 PDF Reader의 "/Launch /Action" 기능을 사용하여 특정 파일을 실행시킬 수 있다.
물론 사용자에게 보여지는 창이 뜨지만, 나중에는 이것도 안뜨게 우회하는 방법도 나올것이다 ㅡㅡ;;

이번 취약점이 문제가 되는 이유는 PDF 표준자체를 수정방법이 없다는 것이다.
한마디로 PDF를 완전 다 뜯어 고쳐야 한다는 것이다. 지못미 Adobe ㅠ_ㅠ

포스팅을 안하려고 하다가, 웹센스(WebSense)에서 이번 취약점을 이용한 PDF가 스팸으로 전달되었다고 해서 주의해야 겠다고 판단되어서 늦게라도 쓰게 되었다.

우선 취약점부터 알아보자.

3월 29일 보안전문가 Didier Stevens는 PDF의 정상적인 기능을 이용하여 특정파일을 실행시키는 취약점을 발견하였다.


이에 4월 1일에는 보안전문가 Jeremy Conway가 Stevens가 발견 한 취약점을 가지고, Wormable 형식으로 발전시켰다.
Wormable 이란 Worm(바이러스 웜) + able(할 수 있는, 가능성 있는)이 합쳐진 용어이다.
이 부분이 참 중요한 부분이여서 계속 주시하고 있었는데, 다행히 POC는 공개하지 않았다. 
하지만, 해커들은 방법을 알았으니 분명 시도할 것이고, 성공할 것이다 ㅠ_ㅠ


그리고 금일 4월 14일 웹센스(WebSense)에서 악의적인 PDF가 담긴 스팸이 발송 된것을 확인하였다.

이 PDF는 Royal_Mail_Delivery_Notice.pdf라는 첨부파일을 실행 시 Zbot으로 판단되는 악성파일(sdra64.exe)을 드롭시키며, InfoStealer의 역활을 수행하여 특정서버(59.44.**.**:6010)로 보내는 것으로 확인된다. IP는 중국이다.
현재 바이러스토탈에서 20% 정도의 탐지율을 보이고 있다.

- 바이러스 토탈 결과


- 조치사항
현재로써 방지 할 수 있는 방법은 옵션을 수정하여 첨부파일을 실행시키지 못하는것이 최선이다 ㅠ_ㅠ

* Adobe Reader 실행 - 편집 - 기본설정 - 신뢰 관리자 - PDF 첨부파일 체크 해제


댓글