윈도우 및 IE11 제로데이 취약점, 타깃 공격에 악용돼

Windows, IE11 zero-day vulnerabilities chained in targeted attack

 

마이크로소프트가 지난 화요일 수정한 제로데이 취약점 2개 중 하나가 올해 초 타깃 공격에서 악용된 것으로 나타났습니다.

 

이 공격자는 윈도우의 취약점 2개를 연결하여 악용했습니다. 이 두 취악점 모두 공격 당시에는 알려지지 않았으며, 해킹된 기기에서 원격 코드 실행 및 권한 상승을 목적으로 사용되었습니다.

 

인터넷 익스플로러, 윈도우 10으로 연결되는 문

 

이 공격은 지난 5월 발생하였으며 한국의 기업을 노렸습니다.

 

카스퍼스키의 연구원들은 이 공격이 DarkHotel 작전의 일부일 것으로 예상했으며 이 해커 그룹은 10년이 넘는 기간 동안 활동해 온 것으로 추측했습니다.

 

“Operation PowerFall”이라 명명된 이 공격은 인터넷 익스플로러 11에 존재하는 원격 코드 실행(RCE) 취약점을 악용합니다.

 

이 취약점은 현재 CVE-2020-1380으로 등록되었습니다. 윈도우 GDI 프린트/프린트 스풀러 API에 존재하는 권한 상승 취약점은 CVE-2020-0986으로 등록되었습니다.

 

이 원격 코드 실행 버그는 인터넷 익스플로러 버전 9 이후 JavaScript 엔진에 존재하는 use-after-free 취약점입니다.

인터넷 익스플로러 11은 윈도우 10에서 계속해서 사용되며, 이를 사용하는 다양한 프로그램을 지원합니다. (예: 마이크로소프트 오피스의 문서에 내장된 영상 콘텐츠 재생)

 

지난 6월 8일 CVE-2020-1380 취약점을 발견하여 마이크로소프트에 제보한 카스퍼스키의 Boris Larin은 기술적 설명과 함께 이 취약점을 트리거하는 PoC 코드를 공개했습니다.

 

CVSS 심각도 점수는 10점 만점에 7.5점이지만 마이크로소프트는 이 취약점의 심각도를 윈도우 10 기기에서 ‘치명적’인 것으로 평가했습니다.

 

공격자들, 제로데이 정보 재빠르게 사용해

 

공격자는 기기에 대한 원격 접속 권한을 얻은 후 “ok.exe”라는 파일을 생성한 모듈을 사용했습니다. 이 파일은 상승된 권한으로 악성 코드를 실행하기 위해 CVE-2020-0986를 악용합니다.

 

마이크로소프트는 2019년 10월 트렌드 마이크로의 ZDI를 통해 이 취약점에 대한 익명 제보를 받았습니다. 하지만 패치는 지연되어 지난 6월 9일 공개되었습니다.

 

마이크로소프트가 반 년 동안이나 아무런 조치를 취하지 않자 ZDI는 2020년 5월 19일 이 취약점에 대한 권고를 발표했습니다.

 

Larin은 발표 바로 다음 날 Operation PowerFall의 공격자들이 이를 악용하기 시작했다고 밝혔습니다.

 

카스퍼스키는 페이로드가 해킹된 기기에 도달하기 직전 이 공격을 탐지 및 차단했다고 밝혔습니다. 이에 연구원들은 이를 분석할 기회를 놓쳤으며 알려진 적과 연관시켰습니다.

 

이 익스플로잇은 과거 분석된 다른 익스플로잇과 유사하며 DarkHotel과 관련된 것으로 추측할 수 있었습니다.

 

현재 초기 감염 벡터를 알아내기에는 데이터가 충분하지 않은 상태이며 Larin은 “MS 오피스에서 웹 콘텐츠를 표시하기 위해 인터넷 익스플로러를 사용하고 있기 때문에 악성 오피스 문서를 통한 악용이 가능할 것”이라 밝혔습니다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/windows-ie11-zero-day-vulnerabilities-chained-in-targeted-attack/