상세 컨텐츠

본문 제목

누군가 VirusTotal에 업로드 한 2개의 제로데이 익스플로잇 발견

국내외 보안동향

by 알약(Alyac) 2018. 7. 4. 10:56

본문

Two Zero-Day Exploits Found After Someone Uploaded 'Unarmed' PoC to VirusTotal


마이크로소프트의 보안 연구원들이 두 개의 치명적이고 중대한 제로데이 취약점 2개의 세부사항을 공개했습니다. 이 취약점들은 누군가 악성 PDF 파일을 VirusTotal에 업로드한 후 발견 되어, 실제로 악용 되기 전에 패치 되었습니다.


지난 3월 말, ESET의 연구원들은 VirusTotal에서 악성 PDF 파일을 발견해 마이크로소프트의 보안팀에 공유하며 “알려지지 않은 윈도우 커널 취약점용 잠재적 익스플로잇”이라고 설명했습니다.


악성 PDF 파일을 분석해본 결과, 마이크로소프트 팀은 이 파일이 2개의 제로데이 익스플로잇을 포함하고 있는 것을 발견했습니다. 하나는 Adobe Acrobat 및 Reader에 존재했으며, 다른 하나는 마이크로소프트 윈도우를 타겟으로 하고 있었습니다.


두 가지 취약점에 대한 패치가 5월 둘 째 주에 발표 되었기 때문에, 마이크로소프트는 취약한 OS와 어도비 소프트웨어를 모두 업데이트할 충분한 시간을 준 후 이 두 취약점에 대한 세부 내용을 금일 발표했습니다.


연구원들에 따르면, 이 제로데이 익스플로잇 2개를 포함하는 이 악성 PDF 문서는 PDF 자체에서 악성 페이로드를 전달하지 않고, PoC 코드인 것처럼 보이기 때문에 모두 이른 개발 단계인 것으로 추정됩니다.


두 개의 제로데이를 결합해 엄청나게 강력한 사이버 무기를 만들고 있었던 누군가가, 의도치 않게 개발 중인 익스플로잇을 VirusTotal에 업로드 해 물거품이 된 것으로 보입니다.


문제의 제로데이 취약점은 Adobe Acrobat 및 Reader (CVE-2018-4990)에 존재하는 원격 코드 실행 취약점, 마이크로소프트 윈도우에 존재하는 권한 상승 버그 두 가지 입니다.


보안 연구원은 아래와 같이 밝혔습니다.


“첫 번째 익스플로잇 공격은 어도비 자바스크립트 엔진을 공격해 해당 모듈의 컨텍스트에서 쉘 코드를

실행합니다.”


“두 번째 익스플로잇은 윈도우 10과 같은 최신 플랫폼에는 영향을 미치지 않으며, Shellcode가 Adobe

Reader 샌드박스를 탈출해 윈도우 커널 메모리에서 상승 된 권한으로 실행될 수 있도록 합니다.”


Adobe Acrobat과 Reader 익스플로잇은 쉘코드를 실행시키기 위해 소프트웨어에서 더블-프리 취약점을 촉발시키는 JavaScript 익스플로잇 코드를 포함한 악성 JPEG 2000 이미지로써 PDF 문서에 포함되었습니다.


첫 번째 취약점의 shellcode 실행을 이용해, 공격자는 두 번째 윈도우 커널 익스플로잇을 사용해 Adobe

Reader 샌드박스를 부수고 상승 된 권한으로 이를 실행합니다.


이 악성 PDF 샘플은 개발 중이었기 때문에, 시작 폴더에 빈 vbs 파일을 드랍하는 간단한 PoC 페이로드만을 포함한 것으로 보입니다.


연구원들은 “샘플은 최종 페이로드를 포함하고 있지 않았기 때문에, 이는 개발 초기 단계에 발견 된 것으로 보입니다. 이 샘플이 실제 악성 파이널 페이로드를 포함하고 있지는 않지만, 제작자가 취약점을 발견해 익스플로잇을 제작한 점으로 미루어 볼 때 그는 매우 높은 기술을 보유한 것으로 추측 됩니다.”고 밝혔습니다.


마이크로소프트와 어도비는 5월에 두 개의 취약점에 대한 보안 업데이트를 모두 발표했습니다.





출처 :

https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

https://cloudblogs.microsoft.com/microsoftsecure/2018/07/02/taking-apart-a-double-zero-day-sample-

discovered-in-joint-hunt-with-eset/

https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/



관련글 더보기

댓글 영역