IE의 제로데이 취약점 관련 권고문입니다.
어서빨리 패치패치~~


ASEC Advisory SA-2008-009
최초 작성일 : 2008/12/11
마지막 개정 : 2008/12/11 10:00:00
위험 수준 : 위험

◈ 제목
인터넷익스플로러 7.0 XML 파싱 취약점을 이용한 제로데이 공격 주의

◈ 개요
최근 인터넷익스플로러 7.0 버전을 공격대상으로 하는 제로데이 공격이 새롭게 보고되었다. 해당 취약점은 XML TAG를 파싱하는 과정에서 발생하는 힙 기반(Heap-based)의 오버플로우 취약점으로 공격자가 원하는 임의의 코드를 실행할 수 있다.

◈ 공격유형
취약점을 이용한 원격 코드 실행

◈ 해당시스템
o Microsoft Internet Explorer 5.01
o Microsoft Internet Explorer 6
o Windows Internet Explorer 7
o Windows Internet Explorer 8 Beta 2

◈ 영향
전형적인 인터넷 익스플로우 취약점 공격에 이용되는 힙 스프레이(Heap Spray) 기법과 결합하여 각종 게임핵을 비롯한 악성코드를 다운로더 및 자유롭게 공격자가 원하는 코드를 실행시킬 수 있다.

◈ 설명

인터넷익스플로러 7 버전에는 다음과 같은 특정 XML TAG를 처리하는 과정에서 발생하는 힙 기반(Heap-based)의 오버플로우 취약점이 존재한다. (CVE-2008-4844)





해당 취약점은 DATASRC 속성을 갖는 HTML 태그 처리를 담당하는 다음의 함수 mshtml!CXfer::TransferFromSrc 내부에서 잘못된 메모리 참조로 인하여 발생한다.

43a3422b 395e08 cmp [esi+0x8],ebx
43a3422e 0f84dd000000 je mshtml!CXfer::TransferFromSrc+0x111 (43a34311)
43a34234 8b08 mov ecx,[eax]
43a34236 57 push edi
43a34237 50 push eax
43a34238 ff9184000000 call dword ptr [ecx+0x84]** 오류 발생

해당 공격은 전형적인 인터넷 익스플로러 취약점 공격에 사용되는 힙 스프레이(Heap Spray) 기법과 결합하여 취약점 오버플로우 발생시 공격자의 쉘코드를 수행하는 방식으로 이루어져있다.
쉘코드 수행 시 다음과 같은 게임핵을 비롯한 각종 악성코드를 다운로드한다.

http://[생략].cn/down/ko.exe
http://[생략].cn/new/new*.exe

최근 중국에서 해당 취약점 공격코드를 자동으로 생성해주는 자동화툴이 이미 개발되었고 확산의 가능성이 더욱 높아지고 있으므로 사용자들의 깊은 주의가 필요하다.

◈ 차단정보

V3 제품군을 통해 2008.12.15.03 엔진에서부터 진단 및 치료가 가능하며,
트러스가드(TrusGuard)나 Absolute IPS 제품군으로 네트워크 단에서의 차단 능력도 확보하고 있다.
또한, 사이트가드를 통해 고객이 안전하게 Internet Explorer을 사용할 수 있도록 조치하고 있다.

◈ 해결책

마이크로소프트사로부터 발표된 해당 취약점 보안 업데이트(MS08-078)을 참고하여 신속히 최신업데이트를 적용하거나 자동 업데이트를 통해 업데이트한다.
Microsoft: http://www.microsoft.com/korea/technet/security/bulletin/MS08-078.mspx

※ 자동업데이트 설정 방법: 시작→제어판→보안센터→ 자동업데이트→자동(권장) 선택


◈ 참고사이트
* Microsoft: http://www.microsoft.com/technet/security/advisory/961051.mspx
* CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
* SANS : http://isc.sans.org/diary.html?n&storyid=5458

-------------------------------------------------------------------
NO WARRANTY
이 권고문은 ㈜안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위하
여 발표하는 보안 권고문이다. ㈜안철수연구소는 이 권고문에 포함되어 있
는 내용 및 기타 어떠한 결과에 대해서도 보장을 하지 못하며, 책임을 지지 않는다.

ASEC Contact Information
Email: asec@ahnlab.com
Copyright 2002-2005 ASEC(Ahnlab Security E-response Center).
All Rights Reserved.
Posted by 멋나미