[주의]인터넷 익스플로러(IE) 0-Day 취약점 공격 증가(CVE-2012-4792)

1. 인터넷 익스플로러 Zero-Day 취약점 주의

마이크로 소프트(Microsoft)사에서 개발한 웹 브라우저 인터넷 익스플로러(Internet Explorer)의 몇몇 버전에서 2013년 01월 04일 현재 보안취약점이 해결되지 않은 Zero-Day 취약점(CVE-2012-4792)을 이용한 공격이 증가하고 있다. 해당 취약점은 미국 외교협회(Council on Foreign Relations/CFR) 웹 사이트가 해킹되었다는 소식을 통해서 처음 알려졌다. 이번 취약점은 아직 마이크로 소프트사를 통해서 공식적인 보안업데이트가 제공되고 있지 않기 때문에 해킹된 웹 사이트에 접근하는 것만으로도 악성파일에 감염될 수 있는 상황이므로, 인터넷 익스플로러 이용자들의 각별한 주의가 필요하다. 해당 Zero-Day 보안취약점은 인터넷 익스플로러의 6, 7, 8 등 총 3가지 버전을 사용하는 이용자에게 영향을 미치게 된다. 마이크로 소프트사에서는 다음 주중 보안업데이트를 제공할 예정이며, 현재 임시 보안패치 프로그램인 Fix-it 을 제공 중에 있다. 

해당 웹 브라우저 이용자들은 임시적이라도 Fix-it 프로그램을 설치하여 혹시 모를 보안위협에 대비하는 노력이 필요하다.

---

2. 보안 위협 관련 정보

마이크로 소프트사에는 이번 Zero-Day 공격의 심각성이 높다는 판단하에 신속히 보안 권고문을 등록하고, 임시 보안패치 프로그램(Fix-it)을 우선 제공하고 있다.

Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://technet.microsoft.com/en-us/security/advisory/2794220
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4792
http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-explorer-8-users.aspx

악성파일은 "Helps.html" 이름의 스크립트를 이용해서 작동된다.

"Helps.html" 파일은 해당 스크립트가 특정 브라우저 버전과 중국어, 영어, 대만어, 일본어, 러시아어, 한국어 등의 웹 브라우저에서 작동하도록 언어를 설정하고, "today.swf" 라는 플래시 파일과 "news.html" 이라는 또 다른 스크립트 파일이 실행되도록 호출한다. "news.html" 파일은 다시 "robots.txt" 라는 파일을 오픈한다.

"Helps.html"  악성파일은 "xsainfo.jpg" 라는 XOR 기능으로 암호화된 악성파일을 다운로드하고 임시폴더(Temp)에 "flowertep.jpg" 라는 이름으로 생성한다. 그런 다음 다시 파일명을 "shiape.exe" 파일로 변환하고 실행한 후 스스로 삭제한다.

"today.swf" 파일 내부에는 아래 화면과 같이 Heap Spray 기법을 이용해서 Shellcode 를 삽입한다.

Shellcode 작동으로 인해서 "xsainfo.jpg" 이름의 악성파일이 다운로드 시도된다. 이 파일은 내부에 XOR 연산으로 HEX 코드가 암호화(Encode)되어 있고, 사용자의 컴퓨터에 설치될 때는 "flowertep.jpg" 이름의 파일로 복호화되어 생성된다. 이때 0x83(0x00 무시) 이라는 키를 통해서 복호화된다.

복호화된 "flowertep.jpg" 파일은 다시 임시폴더(Temp)에 "shiape.exe" 이름의 악성파일로 생성되고 실행된 후 스스로 삭제된다. 악성파일은 특정 호스트로 접속을 시도하며 공격자의 추가명령을 대기하며, 다양한 해킹시도를 할 수 있다.

악성파일의 등록 정보에는 중국어 설명이 포함되어 있어서 제작국가가 중국으로 의심된다는 논란이 있기도 하다.

3. IE Zero-Day 취약점 임시 보안 조치

마이크로 소프트사에는 2013년 01월 04일 현재 공식 보안업데이트를 제공하고 있지 않기 때문에 취약점에 노출될 가능성이 높다. 마이크로 소프트사에서는 정식 보안패치 이전에 임시로 제공 중인 Fix-it 프로그램을 제공하고 있다.

Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2794220

Microsoft Fix it 50971 적용 : http://go.microsoft.com/?linkid=9823138
Microsoft Fix it 50972 해제 : http://go.microsoft.com/?linkid=9823140

인터넷 익스플로러 6, 7, 8 이용자분들은 반드시 마이크로 소프트사 Fix it 50971 을 적용하여, Zero-Day 취약점 공격에 노출되지 않도록 주의를 하시기 바랍니다. 인터넷 익스플로러 9, 10 사용자들은 해당 취약점으로 부터 영향을 받지 않으므로, 설치하실 필요는 없습니다.

정식 보안업데이트는 곧 발표될 예정이므로, 윈도우 업데이트를 통해서 패치를 적용하기 전에 "Microsoft Fix it 50971 해제" 프로그램을 실행하여 임시 보안 패치를 제거하시기 바랍니다.

Microsoft Security Bulletin Advance Notification for January 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-jan

nProtect AVS 3.0 제품에서는 현재 유포 중인 악성파일들은 모두 긴급 업데이트하여 진단/치료하고 있다.

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/