울지않는벌새 : Security, Movie & Society

Oracle Java 제로데이(0-Day) 취약점 : CVE-2013-0422 (2013.1.11)

벌새::Security

2013년 1월 2일경부터 Oracle Java 제로데이(0-Day) 보안 취약점(CVE-2013-0422)을 이용하여 악성코드 유포에 활용되고 있다는 정보가 공개되었습니다.

이번 취약점은 "Oracle Java 7 Update 10 버전 및 하위 버전"의 Java Management Extensions(JMX) MBean 구성 요소와 sun.org.mozilla.javascript.internal 객체에 포함된 불특정 취약점을 이용하여 신뢰할 수 없는 Java Applet이 setSecurityManager() 기능을 호출하여 권한 상승을 통한 원격 코드 실행이 가능한 문제를 유발합니다.

  • Internet Explorer 10 on Windows 8
  • Internet Explorer 8, 9 / Mozilla Firefox / Google Chrome on Windows 7 / Vista
  • Internet Explorer 6, 7, 8 / Mozilla Firefox / Google Chrome on Windows XP

이를 통해 공격자는 Blackhole, Nuclear Pack 범죄 도구를 이용하여 악의적으로 조작된 웹 사이트(러시아, 미국을 중심으로 날씨, 뉴스, 성인 사이트 등)에 사용자가 접속하면 자동으로 시스템 감염을 유발할 수 있으며, 현재 대표적인 감염으로 인한 증상으로는 랜섬웨어(Ransomware)가 알려져 있습니다.

 

랜섬웨어(Ransomware)에 감염된 PC는 락(Lock)이 걸려 다른 동작을 할 수 없으며, 경고창을 생성하여 금전을 요구하는 방식으로 제작되어 있습니다. 특히 안전 모드(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot)에 접속할 수 없도록 레지스트리 값을 삭제합니다.

 

또한 Windows 작업 관리자(taskmgr.exe), 시스템 구성(msconfig.exe), 레지스트리 편집기(regedit.exe), CMD 명령(cmd.exe) 관련 프로세스를 강제로 종료하여 수동으로 문제 해결을 할 수 없도록 합니다.

 

현재 대표적으로 알려진 악성 파일 및 진단 정보는 다음과 같으며, 지속적으로 툴을 통해 다양한 변종이 발생하고 있으므로 Oracle Java 프로그램이 설치된 환경에서는 다음과 같은 임시 조치를 취하시기 바랍니다.

  • (Jar 파일) MD5 : 483b40f21a9e97f0dc6c88a21fddc1ec - avast! : Java:Uttond-A [Expl]
  • (PE 파일) MD5 : 237f8ffc0c24191c5bb7bd9099802ee4 - AhnLab : Win-Trojan/Malpacked6.Gen
  • (PE 파일) MD5 : 0623ce6af469c041c3908f5c64e2cad6 - AhnLab : Dropper/Win32.Injector

현재 대표적으로 알려진 악성 파일 및 진단 정보는 다음과 같으며, 지속적으로 툴을 통해 다양한 변종이 발생하고 있으므로 Oracle Java 프로그램이 설치된 환경에서는 다음과 같은 임시 조치를 취하시기 바랍니다.

 

(1) Oracle Java SE Runtime Environment 7 버전 사용자

Oracle Java SE Runtime Environment 7 버전대를 사용하시는 사용자는 "Oracle Java SE Runtime Environment 7 Update 10" 최신 버전으로 업데이트를 완료한 후, "제어판 → 프로그램 → Java → 보안" 메뉴를 선택하여 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하시기 바랍니다.

 

  업데이트 : Oracle Java SE Runtime Environment 7 Update 10 (2012.12.19)

 

관련 기능에 대한 세부적인 안내는 링크 내용을 참고하시기 바라며, 차후 CVE-2013-0422 보안 취약점에 대한 공식 패치가 제공될 경우 체크를 다시 하시기 바랍니다.

 

(2) Oracle Java SE Runtime Environment 6 및 하위 버전 사용자

Oracle Java SE Runtime Environment 6 Update 38 버전을 포함하여 하위 버전 사용자는 Java 제어판에서 Java 사용을 제어할 수 있는 기능을 제공하지 않습니다.

그러므로 제어판의 "Java(TM) 6 Update 38"과 같은 삭제 항목을 이용하여 설치된 Java 플러그인을 완전히 삭제한 후, "Oracle Java SE Runtime Environment 7 Update 10" 설치 파일을 다운로드하여 설치를 진행하시기 바랍니다.

 

그 후 "제어판 → 프로그램 → Java → 보안" 메뉴를 선택하여 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하시기 바랍니다.

 

현재 공식적인 보안 패치 제공과 관련된 정보는 알려지지 않았으며, 조만간 국내 인터넷 사용자에게도 영향을 미칠 것으로 판단되므로 매우 주의가 요구됩니다.