XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가

보안 패치 제공되지 않은 제로데이 취약점으로 각별한 주의 필요

[보안뉴스 김태형] 마이크로소프트(Microsoft)의 XML 코어 서비스(Core Services)에 알려지지 않은 제로데이(Zero Day, 0-Day) 취약점을 이용한 스크립트 악성코드가 해외에서 발견되는 사례가 서서히 증가하고 있어 주의가 필요하다고 안랩 시큐리티센터는 밝혔다.

최근 발견된 해당 제로 데이 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태의 쉘코드(Shellcode)가 구성되어 있다.

현지 시각으로 6월 12일 마이크로소프트(Microsoft)에서는 XML 코어 서비스(Core Services)에 알려지지 않은 제로데이 취약점이 발견되었음을 보안 권고문 ‘Microsoft Security Advisory(2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution’을 통해 공개한 바 있다.

해당 취약점은 공격자가 지정한 임의 코드를 실행 할 수 있는 코드 실행 취약점이며 해당 XML 코어 서비스를 사용하는 윈도우(Windows) 운영체제와 오피스(Office) 2003과 2007 버전에서 악용이 가능하다.

안랩 시큐리티센터는 “해당 취약점은 현재까지도 마이크로소프트에서 보안 패치를 제공하지 않는 제로데이 취약점이며 임시 방안으로 해당 취약점을 제거할 수 있는 픽스 잇(Fix it)을 보안 공지 ‘Microsoft 보안 공지: Microsoft XML Core Services의 취약성으로 인한 원격 코드 실행 문제’를 통해 배포 중에 있다”고 설명했다.

해당 스크립트 악성코드에 포함된 쉘코드가 실행되면 홍콩에 위치한 특정 시스템에서 css.exe (32,936 바이트)를 다운로드 한 후 실행하게 된다. 해당 파일이 실행되면 윈도우 운영체제에서 실행되는 정상 프로세스인 explorer.exe의 스레드로 자신의 코드들을 아래 이미지와 같이 삽입하게 된다.

그리고 자신의 코드들이 정상적으로 스레드 인젝션을 하게 되면 구글(Google)의 공개용 DNS 서버로 질의를 송신하여 감염된 시스템이 인터넷에 정상적으로 연결되어 있는지 확인하게 된다.

그 후 싱가포르에 위치한 특정 시스템에 접속을 시도하게 되다 분석 당시에는 해당 시스템으로 정상적인 접속이 이루어지지 않았다. 해당 악성코드는 감염된 시스템에서 하드웨어 정보, 운영 체제 정보 및 커맨드라인(Command-Line) 명령을 실행하게 된다.

앞서 언급한 바와 같이 해당 XML 코어 서비스 취약점은 보안 패치가 제공되지 않는 제로데이 취약점임으로 각별한 주의가 필요하며 임시 방안으로 마이크로소프트에서 제공하는 픽스 잇을 설치할 수도 있다.

이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.

JS/Agent

Win-Trojan/Dekor.32936

그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.

http_ie_heap_spray_attack-4(HTTP)

ms_xml_core_service_exploit(CVE-2012-1889)

[김태형 기자(boan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다