마이크로소프트(Microsoft) 업체에서 제공하는 Windows XP, Windows Server 2003 운영 체제의 알려지지 않은 제로데이(0-Day) 보안 취약점(CVE-2013-5065)을 이용하여 악성코드 유포 행위가 이루어지고 있다는 소식입니다.
▷ <FireEye Blog> MS Windows Local Privilege Escalation Zero-Day in The Wild (2013.11.27)
해당 제로데이(0-Day) 보안 취약점(CVE-2013-5065)은 Windows XP, Windows Server 2003 운영 체제의 WAN 미니 포트 드라이버 파일인 NDProxy.sys 커널 구성 요소의 권한 상승 취약점(EoP)을 이용하여 특정 표적 공격이 이루어지고 있다고 합니다.
[영향을 받는 소프트웨어 버전]
□ Windows XP Service Pack 3
□ Windows XP Professional x64 Edition Service Pack 2
□ Windows Server 2003 Service Pack 2
□ Windows Server 2003 x64 Edition Service Pack 2
□ Windows Server 2003 with SP2 for Itanium-based Systems
확인된 공격 방식은 2013년 5월 보안 패치가 이루어진 상태인 Adobe Reader 취약점과 Windows 로컬 권한 상승 취약점(CVE-2013-5065)이 결합된 방식으로 사용자가 악의적으로 조작된 PDF 문서를 오픈할 경우 내부 쉘코드(Shellcode) 실행을 통해 임시 폴더에 악성 PE 파일을 드랍하여 시스템 감염을 유발할 수 있습니다.
이를 통해 성공적으로 내부 시스템에 침투하여 Windows 제로데이(0-Day) 보안 취약점(CVE-2013-5065)에 필요한 조건(로그온 인증서)을 탈취하여 Exploit에 성공할 경우 커널 모드에서 임의의 코드 실행을 통해 프로그램 설치를 할 수 있으며, 공격자는 파일 확인, 변경, 삭제가 가능하며, 관리자 권한을 가진 새로운 계정을 생성할 수 있습니다.
참고로 해당 Windows 커널 권한 상승 취약점 공격에 성공하기 위해서는 반드시 유효한 로그온 인증서와 로컬로 로그온을 할 수 있어야 하며, 익명의 사용자가 원격으로 취약점을 이용할 수는 없습니다.
[영향을 받는 소프트웨어 버전 : Adobe Reader 제품]
□ Adobe Reader XI 11.0.02 버전 및 하위 버전
□ Adobe Reader X 10.1.6 버전 및 하위 버전
□ Adboe Reader 9.5.4 버전 및 하위 버전
현재 마이크로소프트(Microsoft) 업체에서는 광범위하게 이루어지고 있는 CVE-2013-5065 제로데이(0-Day) 보안 취약점에 대한 보안 패치가 준비될 때까지 Adobe Reader 제품을 사용하는 사용자는 반드시 최신 버전으로 업데이트를 하시기 바라며, Windows XP 운영 체제는 Windows Vista, Windows 7, Windows 8, Windows 8.1 버전으로 업그레이드 하시는 것을 권장하고 있습니다.
[관련글 보기]