스피어 피싱에 사용되고 있는 IE 신규 취약점(0-day)

개요

• Microsoft 업체에서 제공하는 Internet Explorer 웹 브라우저의 제로데이 보안 취약점(CVE-2014-1776)을
  이용하여 스피어 피싱(Spear-phishing) 특정인의 정보를 캐내기 위한 피싱 공격이 이루어지고 있음
• 공격 목표가 사용하는 이메일을 해킹하거나 악성코드를 첨부한 이메일을 전송하는 것이 주요 방법

 

주요내용

• 이번 Internet Explorer 웹 브라우저 제로데이 보안 취약점은 Internet Explorer 6, 7, 8, 9, 10, 11 버전에서
  유효하지만 “Operation Clandestine Fox"로 명명된 실제 공격은 Internet Explorer 9, 10, 11 버전이 표적
• 대략적인 공격 방식은 Internet Explorer 웹 브라우저 사용자가 악의적으로 변조된 웹 페이지를 방문할 경우 
  지금까지 잘 알려져 있지 않았던 Use-Afte-Free 취약점과 기존에 알려진 Adobe Flash Player 취약점을 
  사용하여 Windows 보안 기능인 ASLR, DEP 보호 기능을 우회하여 임의의 코드 실행을 통한 시스템 감염을 
  유발하는 방식
• 브라우저의 'Use-After-Free' 취약점이란 객체가 해제된 후에도 여전히 존재하는 객체를 참조할 때 발생하는
  것으로 해제된 메모리 위치에 공격자가 다시 원하는 값을 쓸 수 있고 그 값을 참조하거나 함수 포인터로 사용할
  경우, 원격 코드 실행까지 이어갈 수 있음
• 해당 취약점에서는 브라우저의 VGX.dll의 객체에서 이러한 UAF(User-After-Free) 취약점이 발생하였고, 
  이 DLL은 이전 2006년에도 계속해서 취약점이 발생하였던 파일임

< 취약점이 발생한 VGX.dll의 과거 연혁 >

 

 

[출처]
1. http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html
2. http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Microsoft-IE-zero-day-and-recent-exploitation-trends-CVE-2014/ba-p/6461820#.U2Hf-Pl_uAX