Flash 콘텐츠 재생을 위해 설치되는 Adobe Flash Player 플러그인에서 발견된 1건의 제로데이(0-Day) 보안 취약점 문제를 해결한 Adobe Flash Player 28.0.0.161 버전이 긴급 업데이트 되었습니다.
이번 긴급 업데이트는 2017년 11월경부터 국내 특정인을 표적으로 메일 첨부 파일로 MS Excel 문서(.xlsx)를 다운로드하여 실행하도록 유도하는 사이버 공격과 관련되어 있습니다.
메일을 수신한 사용자가 문서 파일을 실행할 경우 내부에 삽입된 암호화된 Flash 객체가 실행되어 외부의 C&C 서버와 통신을 시도하여 복호화 키를 받아와 암호가 해제된 Flash 객체는 Use-after-free 취약점(CVE-2018-4878)을 외부 서버로부터 쉘코드를 받아와 ROKRAT 악성코드 감염이 이루어집니다.
ROKRAT 악성코드는 추가적인 악성 프로그램 다운로드, 정보 수집 및 유출 등 다양한 악의적 기능을 수행하는 원격 제어툴로 북한(North Korea)에서 활용하는 것으로 알려져 있으며, 3개월 이상 은밀하게 표적 공격이 이루어졌던 것으로 보입니다.
공개된 Flash 객체 파일을 통해 Adobe Flash Player 28.0.0.137 최신 버전으로 확인해보면 "h**p://1588-2040.co.kr/design/m/images/image/image.php" 서버와의 통신을 통해 실행된 PC의 ID 정보와 Flash 버전과 운영 체제(OS) 버전 정보를 전송하는 것을 알 수 있습니다.
이에 따라 Adobe 업체에서는 2018년 2월 7일부터 긴급 업데이트를 통해 CVE-2018-4878 제로데이(0-Day) 취약점에 대한 보안 패치가 배포되기 시작하였습니다.
- CVE-2018-4877 : Use-after-Free 취약점을 이용한 원격 코드 실행 문제
- CVE-2018-4878 : Use-after-Free 취약점을 이용한 원격 코드 실행 문제
[영향을 받는 소프트웨어 및 업데이트 버전]
□ Adobe Flash Player 28.0.0.137 버전 및 하위 버전(Windows, Macintosh, Linux) → Adobe Flash Player 28.0.0.161 버전
□ Windows 8.1 운영 체제용 Internet Explorer 11 버전, Windows 10 운영 체제용 Internet Explorer 11 및 Microsoft Edge 웹 브라우저 사용자는 Windows 업데이트 기능을 통해 KB4074595 보안 패치를 설치하면 "Adobe Flash Player 28.0.0.137 버전 및 하위 버전 → Adobe Flash Player 28.0.0.161 버전"으로 업데이트 되었습니다.
□ Windows, Macintosh, Linux, Chrome OS 운영 체제용 Chrome 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → 도움말 → Chrome 정보) 기능을 통해 Chrome 64.0.3282.140 버전 및 상위 버전으로 업데이트하시면 자체 내장된 PPAPI 기반 "Adobe Flash Player 28.0.0.137 버전 및 하위 버전 → Adobe Flash Player 28.0.0.161 버전"으로 업데이트 되었습니다.
그러므로 Adobe Flash Player 플러그인이 설치된 환경에서는 Windows 업데이트 또는 설치 파일을 이용하여 최신 버전으로 업데이트하시기 바라며, 특히 다중 웹 브라우저 사용자는 각 웹 브라우저용 Adobe Flash Player 버전을 체크하여 패치하시기 바랍니다.