최근 아도브 아크로뱃/리더에서 보안상 매우 치명적인 취약점이 발견되어 문제가 되고 있습니다. 이 취약점이 공개되면서 이를 이용하는 악성 코드로 인해 약 1만대 이상이 공격당했으며, 설상 가상으로 며칠 전에 공개한 보안 패치로도 완벽하게 해결되지 않은 상태입니다.

외국의 보안 업체인 소포스(Sophos)의 보안 전문가는 아크로뱃의 버전을 확인하여 패치되지 않은 시스템인 경우에는 악성 프로그램을 다운로드하는 새로운 형태의 악성 프로그램을 소개했습니다.


공격의 형태는 교묘하게 조작된 PDF 문서를 이용하여 아크로뱃 리더 또는 서비스의 버전을 확인합니다. 만약 CVE-2008-2992, CVE-2009-0927, CVE-2009-4324, CVE2007-5659 취약점을 가진 아도브 리더, 아크로뱃 v9.0x, 8.1.2, 7.1.0 이하 버전인 경우에 공격을 당하게 되지만 다행이도 최신 버전은 아니기 때문에 그리 큰 피해가 나지는 않을 것으로 예상됩니다.

취약점이 있는 경우에는 브라우저에서 특정한 URL로 이동하여 페이로드를 다운로드한 후에 마지막으로는 구글 사이트로 이동합니다.

PDF 취약점의 문제는 두고두고 계속될 것으로 보이며, 이번과 같이 한층 더 발전한 공격 기법으로 인해 보안 업체의 고민이 더욱 늘어날 것입니다.

감사합니다.

출처: http://www.sophos.com/blogs/chetw/g/2010/06/30/pdf-java-malware-target-unpatched-pcs/

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 3월 말경에 발표된 Adobe Reader/Acrobat의 취약점을 해결하는 패치가 6월 29일 발표됐습니다.

    이 취약점은 CVE-2010-1240으로 분류되었으며 통상적으로 /Launch 취약점이라고도 합니다. 이 취약점으로 인해 많은 컴퓨터 들이 악성코드에 감염되는 사태를 빚기도 했습니다.

    하여튼, 문제는 이 문제를 패치한 경우에도 유사한 공격이 여전이 가능한 것으로 알려졌습니다.

    베트남에 있는 Bkis Internet Security에 근무하는 Le Manh Tung 이라는 보안 전문가는 아도브 보안 패치를 한 상태에서도 명령어 입력 부분에 따옴표를 입력하는 방법을 통해 우회가 가능하다고 밝혔습니다.

    아래는 최신 패치가 적용된 Adobe Reader 9.3.3에서 명령어를 입력하는 화면입니다.

    Open 버튼을 누르면, 패치가 되지 않은 경우에는 프로그램이 실행되지만, 패치가 된 경우에는 아래와 같이 경고 창이 나타납니다.

    하지만, 아래와 같이 입력 형태에 큰 따옴표를 추가하는 조작을 하게 되면 성공적으로 프로그램이 실행됩니다.

    원래: /F(cmd.exe)

    조작: /F("cmd.exe")



    Cmd.exe /c "calc.exe" 명령어를 실행하는 샘플은 아래 링크를 참고하십시오. 만약 안티바이러스 제품의 실시간 감시가 켜져 있으면 다운로드하는데 문제가 있을 수 있습니다.

     http://blog.bkis.com/en/wp-content/uploads/2010/07/Launch_PoC_cmd_calc.pdf


    출처: http://blog.bkis.com/en/adobe-fix-still-allows-escape-from-pdf/

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      제로데이 취약점으로 요즘 말많은 아도브(Adobe)에서 아크로뱃/리더의 패치를 발표했습니다. 이번 발표에서는 지금까지 알려져 있던 취약점 가운데 17가지를 해결한 것으로 윈도우, 매킨토시, 유닉스 운영체제까지 모두 포함합니다.

      특히, 보안 전문가인 Didier Stevens이 발견한 /Launch 기능에 대한 보안을 강화한 것으로 알려져 있습니다. 참고로, 이 취약점은 아무런 보안 취약점이 없는 상태에서도 PDF 문서 내에 숨겨진 실행파일을 실행할 수 있는 취약점으로, 거의 보안상 무한의 자유를 주는 문제점으로 볼 수 있습니다.

      패치에 대한 자세한 사항은 아래 링크를 참고하십시오.


      감사합니다.


      PS: Didier Stevens는 자신의 블로그에서 해당 취약점을 이용하는 공격을 시연한 동영상을 공개해서 소개합니다.


      출처: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory