본문 바로가기

벌새::Security

Microsoft Internet Explorer 제로데이 취약점 : CVE-2013-3918 (2013.11.12)

반응형

마이크로소프트(Microsoft) 업체에서 제공하는 Internet Explorer 웹 브라우저에서 알려지지 않은 제로데이(0-Day) 보안 취약점(CVE-2013-3918)을 이용한 APT 공격이 미국(USA)의 특정 웹 사이트에서 발생하였다는 소식입니다.

 

  <FireEye Blog> New IE Zero-Day Found in Watering Hole Attack (2013.11.8)

 

  <FireEye Blog> Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method (2013.11.10)

 

이번 CVE-2013-3918 제로데이(0-Day) 보안 취약점은 Internet Explorer ActiveX Control 취약점을 이용하여 사용자가 특정 미국 보안(안보) 정책 웹 사이트 1곳을 방문할 경우 시스템 감염이 발생할 수 있는 것으로 알려져 있습니다.

 

해당 취약점은 Windows XP, Windows Vista, Windows 7 운영 체제에서 사용되는 Internet Explorer 7, 8, 9, 10 영어(English) 버전에서 유효한 특정 표적 공격으로 확인되고 있습니다.

 

APT 전문 보안 업체인 FireEye에서 발표한 정보에서는 이번 APT 공격의 특징은 Exploit을 통해 성공적으로 시스템 감염이 이루어질 경우 디스크에 파일을 생성하지 않고 메모리에 직접 작성하는 방식으로, 감염된 시스템은 시스템 재부팅시 자동으로 감염된 메모리가 초기화되며 변조된 웹 사이트를 재방문시 재감염되도록 하였습니다.

 

감염된 시스템은 rundll32.exe 프로세스를 실행하여 XOR(0x9F) 디코딩을 통해 CreateProcessA, OpenProcess, VirtualAlloc, WriteProcessMemory, CreateRemoteThread를 사용하는 코드를 인젝션(Injection)한 후 추가적으로 2개의 XOR(0x01, 0x6A) 디코딩을 통해 쉘코드(Shellcode)를 실행합니다.

 

렇게 감염된 시스템은 특정 C&C 서버(111.68.9.93 :443)와 통신을 시도하여 추가적인 악의적 기능(정보 유출 및 악성코드 추가 다운로드 등)을 수행할 수 있습니다.

 

현재 마이크로소프트(Microsoft) 업체에서는 2013년 정기 보안 업데이트(2013년 11월 13일)를 통해 Internet Explorer 웹 브라우저 보안 패치(MS13-090)를 통해 CVE-2013-3918 제로데이(0-Day) 취약점을 해결할 예정입니다.

임시적 해결책으로는 Internet Explorer 웹 브라우저의 "보안" 탭에서 인터넷 및 로컬 인트라넷 보안 수준을 기본값에서 "높음" 상태로 상향 조정을 하는 방법과 Enhanced Mitigation Experience Toolkit(EMET 4.0)을 이용하여 Exploit을 차단할 수 있다고 소개하고 있습니다.

 

그러므로 내일(2013년 11월 13일) 예정된 MS 정기 보안 업데이트를 잊지 마시고 반드시 모두 업데이트하시기 바랍니다.

 

  MS Windows + Office 제로데이 취약점 : CVE-2013-3906 (2013.11.6)

 

또한 추가적으로 공개된 CVE-2013-3906 제로데이(0-Day) 보안 취약점에 대한 공식 패치는 2013년 11월 정기 보안 업데이트에 포함되어 있지 않으므로 항상 주의하시기 바랍니다.

반응형