최근 미국 외교 관계 위원회(Council on Foreign Relations(CFR)) 웹 사이트가 악의적인 변조를 통해 Internet Explorer 웹 브라우저의 알려지지 않은 제로데이(0-Day) 취약점을 이용한 악성코드 유포 행위가 2012년 12월 하순경 발생하였다는 소식입니다.
▷ <KISA 보안 공지> MS Internet Explorer 원격코드 실행 신규 취약점 주의 권고 (2012.12.30)
이번 공격에 이용된 취약점(CVE-2012-4792)은 Internet Explorer 8 버전을 대상으로 사용자가 변조된 웹 사이트 접속시 악성 자바스크립트(JavaScript)를 통해 ① 쿠키(Cookie) 값을 통한 중복 체크(첫 방문자가 아닌 경우 Trigger되지 않음), ② Internet Explorer 8 버전 체크 ③ Adobe Flash 취약점을 통한 Heap Spray & ShellCode 생성 ④ 웹 브라우저 언어가 영어, 중국어, 대만어, 일본어, 한국어, 러시아어가 아닌 경우 진행 중단 방식으로 최종적으로 원격 코드 실행을 통해 관리자 권한을 획득하는 것으로 알려져 있습니다.
또한 해당 취약점은 Windows XP, 7 운영 체제에서 제공하는 DEP, ASLR 보안 기술을 우회하며, 추가적으로 Windows 7 환경에서는 Oracle Java 플러그인이 설치되어 있는 경우 ROP 보호 기술을 우회할 목적으로 Java 라이브러리 로딩을 요구하게 됩니다.
쉘코드(ShellCode) 실행을 통해 최종적으로 다운로드된 악성 파일은 XOR 암호화(0x83)되어 있으며, 외부 C&C 서버와 통신을 시도합니다.
이로 인하여 마이크로소프트(Microsoft)에서는 Internet Explorer 6, 7, 8 웹 브라우저를 사용하는 사용자의 경우 악의적으로 조작된 웹 사이트 접속시 자동으로 악성코드 감염이 이루어질 수 있으므로 보안 패치가 공개될 때까지 매우 주의하라는 긴급 공지를 발표하였습니다.
단, Internet Explorer 9, 10 웹 브라우저 환경에서는 이번 제로데이 취약점의 영향을 받지 않습니다.
그러므로 CVE-2012-4792 취약점에 대한 공식 보안 패치가 제공될 때까지 다음과 같은 임시적인 조치를 통해 악성코드에 감염되지 않도록 하시기 바랍니다.
(1) Windows XP 운영 체제 사용자는 보안 패치가 공개될 때까지 Google Chrome, Firefox, Opera 웹 브라우저를 이용하여 인터넷을 이용하시기 바랍니다.
(2) Windows Vista, 7 운영 체제에서 Internet Explorer 8 웹 브라우저를 사용하시는 분들은 Internet Explorer 9 버전으로 업데이트를 하시기 바랍니다.
(3) 구버전 Adobe Flash Player 제품을 사용하시는 분들은 반드시 Adobe Flash Player 최신 버전(11.5.502.135)으로 업데이트 하시기 바랍니다.
(4) 구버전 Oracle Java 제품을 사용하시는 분들은 반드시 Oracle Java 최신 버전(Oracle Java SE Runtime Environment 7 Update 10)으로 업데이트 하시기 바랍니다.
(5) 마이크로소프트(Microsoft)사에서는 Enhanced Mitigation Experience Toolkit(EMET)을 이용하여 제로데이(0-Day) 취약점으로부터 시스템을 보호해줄 수 있도록 툴을 제공하고 있습니다.
마지막으로 이번 Internet Explorer 웹 브라우저 취약점을 이용한 공격은 한국(Korea)을 표적으로 한 공격이 예상되므로 Windows XP 운영 체제를 사용하시는 분들은 보안 패치가 제공될 때까지 매우 주의하시기 바랍니다.