[긴급]CVE-2012-1535 취약점 악성파일 증가, Adobe Flash Player 업데이트 권고

1. 개요

잉카인터넷 대응팀은 Adobe Flash Player 프로그램에 존재하는 최신 보안취약점을 이용한 악성파일이 해외에서 다수 유포되고 있는 정황을 포착하였다. 해당 취약점을 이용한 악성파일은 2012년 08월 13일 경부터 발견되고 있으며, Adobe Systems사에서는 2012년 08월 14일 CVE-2012-1535 취약점에 대한 보안 권고문을 공개한 상태이다. 공격자는 마치 정상적인 MS Word DOC 문서파일처럼 교묘히 위장하여 변종 악성파일을 제작하여 유포하고 있는 상황이므로, 최신 보안업데이트 설치가 무엇보다 중요한 상태이다. 아울러 플래시 플레이어 취약점의 경우 매우 자주 발생하고 있으므로, 수시로 제공되는 최신 업데이트를 반드시 설치하는 보안습관이 중요하다.

---

[보안 권고문]
Security update available for Adobe Flash Player
☞ http://www.adobe.com/support/security/bulletins/apsb12-18.html

[최신 업데이트->즉시 설치권장]
Adobe Flash Player 11.3.300.271
☞ http://get.adobe.com/kr/flashplayer/

2. 취약점 및 악성파일 현황

해당 취약점은 Adobe Flash Player 11.3.300.270 이하 버전에서 발생하고 있으며, 마이크로 소프트사의 Word 문서파일로 위장된 형태로 유포 중이다. 잉카인터넷 대응팀은 현재 다수의 변종을 발견하고 긴급 업데이트를 통해 치료 기능을 제공하고 있다.

악성파일은 Word 파일 내부에 SWF 포맷 형태로 삽입되어 있으며, 해당 파일에 의해서 특정 웹사이트 등에서 또 다른 악성파일이 다운로드되거나 설치될 수 있다.

"MedalTop10.doc" 악성파일의 경우 감염될 경우 다음과 같은 화면을 보여주면서 특정 웹사이트로 접속하여 help.gif 이름의 이미지로 위장된 압축된 형태의 파일을 다운로드하여 설치한다.

hxxp://(생략).mooo.com/docs/help.gif

GIF 파일은 마치 이미지 파일처럼 헤더를 조작하고 있지만, 실제로는 ZIP 포맷을 가지고 있고, 암호로 보호되어 있다. 조작된 6바이트를 제거하고 압축포맷으로 변경 후 해제를 시도하면 다음과 같다. 압축해제가 가능한 암호는 "password123" 이다.

"password123" 암호를 통해서 정상적으로 압축해제를 하게 되면 내부에 test.exe 라는 악성파일이 포함된 것을 확인할 수 있다.

현재 다양한 변종이 발견되고 있고, 사회공학기법을 이용해 전파가 시도되고 있으므로 Adobe Flash Player 제품에 대한 최신 업데이트가 신속히 진행되어야 할 것으로 보여진다.

Adobe Flash Player 제품을 최신버전으로 업데이트하면 해당 취약점을 이용한 악성파일을 사전에 예방할 수 있으므로, 다음의 사이트에 방문하여 지금 즉시 최신버전으로 설치하는 것이 필요하다.

[최신버전 업데이트]
☞ http://get.adobe.com/kr/flashplayer/

3. 예방 조치 방법

사용자들은 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.