본문 바로가기
벌새::Security

Oracle Java 제로데이(0-Day) 취약점 : CVE-2013-0422 (2013.1.11)

벌새 2013. 1. 11. 14:57
반응형

2013년 1월 2일경부터 Oracle Java 제로데이(0-Day) 보안 취약점(CVE-2013-0422)을 이용하여 악성코드 유포에 활용되고 있다는 정보가 공개되었습니다.

이번 취약점은 "Oracle Java 7 Update 10 버전 및 하위 버전"의 Java Management Extensions(JMX) MBean 구성 요소와 sun.org.mozilla.javascript.internal 객체에 포함된 불특정 취약점을 이용하여 신뢰할 수 없는 Java Applet이 setSecurityManager() 기능을 호출하여 권한 상승을 통한 원격 코드 실행이 가능한 문제를 유발합니다.

 

  • Internet Explorer 10 on Windows 8
  • Internet Explorer 8, 9 / Mozilla Firefox / Google Chrome on Windows 7 / Vista
  • Internet Explorer 6, 7, 8 / Mozilla Firefox / Google Chrome on Windows XP

이를 통해 공격자는 Blackhole, Nuclear Pack 범죄 도구를 이용하여 악의적으로 조작된 웹 사이트(러시아, 미국을 중심으로 날씨, 뉴스, 성인 사이트 등)에 사용자가 접속하면 자동으로 시스템 감염을 유발할 수 있으며, 현재 대표적인 감염으로 인한 증상으로는 랜섬웨어(Ransomware)가 알려져 있습니다.

 

랜섬웨어(Ransomware)에 감염된 PC는 락(Lock)이 걸려 다른 동작을 할 수 없으며, 경고창을 생성하여 금전을 요구하는 방식으로 제작되어 있습니다. 특히 안전 모드(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot)에 접속할 수 없도록 레지스트리 값을 삭제합니다.

 

또한 Windows 작업 관리자(taskmgr.exe), 시스템 구성(msconfig.exe), 레지스트리 편집기(regedit.exe), CMD 명령(cmd.exe) 관련 프로세스를 강제로 종료하여 수동으로 문제 해결을 할 수 없도록 합니다.

 

현재 대표적으로 알려진 악성 파일 및 진단 정보는 다음과 같으며, 지속적으로 툴을 통해 다양한 변종이 발생하고 있으므로 Oracle Java 프로그램이 설치된 환경에서는 다음과 같은 임시 조치를 취하시기 바랍니다.

 

  • (Jar 파일) MD5 : 483b40f21a9e97f0dc6c88a21fddc1ec - avast! : Java:Uttond-A [Expl]
  • (PE 파일) MD5 : 237f8ffc0c24191c5bb7bd9099802ee4 - AhnLab : Win-Trojan/Malpacked6.Gen
  • (PE 파일) MD5 : 0623ce6af469c041c3908f5c64e2cad6 - AhnLab : Dropper/Win32.Injector

현재 대표적으로 알려진 악성 파일 및 진단 정보는 다음과 같으며, 지속적으로 툴을 통해 다양한 변종이 발생하고 있으므로 Oracle Java 프로그램이 설치된 환경에서는 다음과 같은 임시 조치를 취하시기 바랍니다.

 

(1) Oracle Java SE Runtime Environment 7 버전 사용자

Oracle Java SE Runtime Environment 7 버전대를 사용하시는 사용자는 "Oracle Java SE Runtime Environment 7 Update 10" 최신 버전으로 업데이트를 완료한 후, "제어판 → 프로그램 → Java → 보안" 메뉴를 선택하여 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하시기 바랍니다.

 

  업데이트 : Oracle Java SE Runtime Environment 7 Update 10 (2012.12.19)

 

관련 기능에 대한 세부적인 안내는 링크 내용을 참고하시기 바라며, 차후 CVE-2013-0422 보안 취약점에 대한 공식 패치가 제공될 경우 체크를 다시 하시기 바랍니다.

 

(2) Oracle Java SE Runtime Environment 6 및 하위 버전 사용자

Oracle Java SE Runtime Environment 6 Update 38 버전을 포함하여 하위 버전 사용자는 Java 제어판에서 Java 사용을 제어할 수 있는 기능을 제공하지 않습니다.

그러므로 제어판의 "Java(TM) 6 Update 38"과 같은 삭제 항목을 이용하여 설치된 Java 플러그인을 완전히 삭제한 후, "Oracle Java SE Runtime Environment 7 Update 10" 설치 파일을 다운로드하여 설치를 진행하시기 바랍니다.

 

그 후 "제어판 → 프로그램 → Java → 보안" 메뉴를 선택하여 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하시기 바랍니다.

 

현재 공식적인 보안 패치 제공과 관련된 정보는 알려지지 않았으며, 조만간 국내 인터넷 사용자에게도 영향을 미칠 것으로 판단되므로 매우 주의가 요구됩니다.

728x90
반응형

티스토리툴바