1. 개요
마이크로 소프트에서는 XML 코어 서비스(Core Services)에 아직 알려지지 않은 Zero-Day 취약점이 발견되었음을 2012년 06월 12일에 보안 권고문 형태로 이미 공개한 상태이다.
해당 보안취약점은 공격자가 임의로 코드를 실행할 수 있는 코드 실행 취약점이며, XML 코어 서비스를 사용하고 있는 윈도우 운영체제와 오피스2003, 오피스2007 버전에서 악용될 수 있다. 마이크로 소프트사에서는 아직 공식 보안업데이트를 배포하지는 않고 있고, 취약점을 우선 제거할 수 있는 Fix it 을 먼저 배포하고 있다. 국내외에서 해당 취약점을 이용한 공격이 보고되고 있으므로, 사용자들은 정식 보안패치가 배포되기 이전에 Fix it 설치가 중요한 상태이고, 사용중인 백신제품 등을 최신 버전으로 업데이트 하도록 하여야 한다.
[KISA 인터넷침해대응센터 보안공지]
☞ http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=962
[마이크로 소프트사 보안 권고문]
Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점
☞ http://technet.microsoft.com/ko-kr/security/advisory/2719615 (국문)
☞ http://technet.microsoft.com/en-us/security/advisory/2719615 (영문)
2. 악성파일 정보
최근 발견된 해당 취약점을 이용한 Zero-Day Exploit Code 는 아래 이미지와 같이 Shell Code 로 구성되어 있다.
3. 마무리
해당 취약점은 아직 공식 보안패치가 제공되지 않고 있기 때문에 반드시 우선 Fix it 을 적용하는 것이 중요하며, 최신 nProtect Anti-Virus 패턴으로 업데이트하면 보고된 유사 변종에 대한 대응도 가능하다. 하지만 지속적으로 변종이 제작되어 유포되고 있기 때문에 각별한 주의가 필요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
마이크로 소프트에서는 XML 코어 서비스(Core Services)에 아직 알려지지 않은 Zero-Day 취약점이 발견되었음을 2012년 06월 12일에 보안 권고문 형태로 이미 공개한 상태이다.
해당 보안취약점은 공격자가 임의로 코드를 실행할 수 있는 코드 실행 취약점이며, XML 코어 서비스를 사용하고 있는 윈도우 운영체제와 오피스2003, 오피스2007 버전에서 악용될 수 있다. 마이크로 소프트사에서는 아직 공식 보안업데이트를 배포하지는 않고 있고, 취약점을 우선 제거할 수 있는 Fix it 을 먼저 배포하고 있다. 국내외에서 해당 취약점을 이용한 공격이 보고되고 있으므로, 사용자들은 정식 보안패치가 배포되기 이전에 Fix it 설치가 중요한 상태이고, 사용중인 백신제품 등을 최신 버전으로 업데이트 하도록 하여야 한다.
[KISA 인터넷침해대응센터 보안공지]
☞ http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=962
[마이크로 소프트사 보안 권고문]
Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점
☞ http://technet.microsoft.com/ko-kr/security/advisory/2719615 (국문)
☞ http://technet.microsoft.com/en-us/security/advisory/2719615 (영문)
MicrosoftFixit50897.msi2. 악성파일 정보
최근 발견된 해당 취약점을 이용한 Zero-Day Exploit Code 는 아래 이미지와 같이 Shell Code 로 구성되어 있다.
3. 마무리
해당 취약점은 아직 공식 보안패치가 제공되지 않고 있기 때문에 반드시 우선 Fix it 을 적용하는 것이 중요하며, 최신 nProtect Anti-Virus 패턴으로 업데이트하면 보고된 유사 변종에 대한 대응도 가능하다. 하지만 지속적으로 변종이 제작되어 유포되고 있기 때문에 각별한 주의가 필요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
이외에도 다수의 변종을 "Exploit.CVE-2012-1889.Gen" 이라는 진단명으로 사전 탐지가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [이슈]항공사 내용으로 둔갑한 대만 APT 전격해부 (0) | 2012.07.10 |
|---|---|
| [이슈]맥과 윈도우를 복합적으로 겨냥한 Multi APT 공격 등장 (1) | 2012.07.03 |
| [주의]VISA 신용카드 사기성 내용으로 위장된 악성파일 등장 (0) | 2012.06.29 |
| [긴급]국내 유명 포털을 표적으로 한 APT 공격 발견 (#Update 02) (1) | 2012.06.29 |
| [주의]온라인 게임사이트로 사칭한 용의주도한 악성파일 (0) | 2012.06.26 |