울지않는벌새 : Security, Movie & Society

업데이트 : Adobe Flash Player 12.0.0.44

벌새::Security

Adobe 업체에서 제공하는 Adobe Flash Player 최신 버전의 제로데이(0-Day) 보안 취약점(CVE-2014-0497)을 이용한 악성코드 유포가 확인되어 긴급 보안 패치가 적용된 Adobe Flash Player 12.0.0.44 버전이 업데이트 되었습니다.

 

  <Adobe Security Bulletin> Security updates available for Adobe Flash Player : APSB14-04 (2014.2.4)

 

  <Kaspersky SecureList> CVE-2014-0497 – a 0-day vulnerability (2014.2.5)

 

이번 제로데이(0-Day) 보안 취약점(CVE-2014-0497)은 Integer Underflow 취약점을 이용하여 성공적으로 Exploit된 시스템에서 임의의 코드 실행을 통해 원격에서 권한 탈취가 가능합니다.

 

CVE-2014-0497 제로데이(0-Day) 취약점을 이용한 악성코드 유포를 최초 발견한 Kaspersky 보안 업체에서 제공한 정보에 따르면 총 11개의 Adobe Flash Player 버전에서 취약점을 이용한 악성코드 감염이 이루어졌으며, Windows XP ~ Windows 8 (32/64비트) 운영 체제까지 유효하며 Windows 8.1 (32/64비트) 운영 체제 환경에서는 조건 체크를 통해 종료 처리가 되었다고 합니다.

 

참고로 취약점 공격에 사용된 SWF 악성 파일에 대하여 Kaspersky 보안 제품에서는 유포 당시 HEUR:Exploit.SWF.Agent.gen 진단명으로 차단이 되었으며, 해당 SWF 악성 파일은 "최신 일본 풍속 AV 리스트 및 토렌트 사용방법.docx"와 같은 한국어로 작성된 MS Word 문서내에 임베드된 형태로 유포가 이루어습니다.

 

특히 Windows 운영 체제 이외에 Mac 환경에서도 감염자가 발견되었으며 MS Word 문서가 발견된 위치가 웹 브라우저의 캐시 폴더임을 감안한다면 이메일 첨부 파일을 통해 다운로드가 이루어졌을 가능성이 높습니다.

 

이들 악성 파일은 중국(China)에서 제작된 Sogou Explorer 웹 브라우저를 사용하며 163.com에서 호스팅하는 웹 메일 서비스를 통해 타켓된 대상들에게 감염이 이루어진 것으로 보입니다.

 

이를 통해 bug3.com 무료 호스팅에 등록된 도메인에서 암호화된 파일들을 다운로드하며, Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Agent.hdzh 진단명으로 진단되고 있습니다.

 

시스템 감염이 성공적으로 이루어진 환경에서는 Trojan-Spy.Win32.Agent.cjuj 악성 파일은 각종 이메일 클라이언트 및 웹 브라우저에 저장된 메일 계정 정보와 SNS 및 유명 사이트 로그인 정보를 수집하는 것으로 알려져 있습니다.

 

또한 Backdoor.Win32.Agent.dfdq 진단명으로 진단되는 악성 파일은 3개의 C&C 서버와 통신을 시도하며 a .dll 파일이 임베이드된 JPEG 그림 파일 형태를 받아와 kboc.dll 파일(Backdoor.Win32.Agent.dfdr)을 추출하여 svchost.exe 프로세스에 인젝션하여 통신을 유지합니다.

 

[영향을 받는 소프트웨어 및 업데이트 버전]

 

□ Adobe Flash Player 12.0.0.43 버전 및 하위 버전(Windows, Macintosh) → Adobe Flash Player 12.0.0.44 버전

 

□ Adobe Flash Player 11.2.202.335 버전 및 하위 버전(Linux) → Adobe Flash Player 11.2.202.336 버전

 

※ Windows, Macintosh, Linux 운영 체제용 구글 크롬(Google Chrome) 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → Chrome 정보) 기능을 통해 Google Chrome 32.0.1700.107 버전으로 업데이트를 하시면 자체 내장된 "Adobe Flash Player 12.0.0.41 버전 → Adobe Flash Player 12.0.0.44 버전"으로 업데이트가 이루어집니다.

 

※ Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전 웹 브라우저 사용자는 Windows Update 기능을 통해 "Adobe Flash Player 12.0.0.38 버전 → Adobe Flash Player 12.0.0.44 버전"으로 업데이트 하시기 바랍니다.

그러므로 Adobe Flash Player 자동 업데이트 또는 설치 파일 다운로드를 통한 수동 설치 방식을 통해 최신 버전으로 업데이트 하시기 바라며, 업데이트 완료시에는 "Adobe가 업데이트를 설치하도록 허용(권장)" 설정을 유지한 상태를 유지하시기 바랍니다.