본문 바로가기
취약점 정보1

Adobe Flash Player에 존재하는 제로 데이 취약점 'CVE-2014-0515'분석

Ryansecurity 2014. 5. 12. 08:14
728x90

Adobe는 2014 년 4 월 28 일 (미국 시간), Adobe Flash Player에 존재하는 제로 데이 취약점 이 발견되어이 제로 데이 취약점에 대한 보안 정보를 공개했습니다.

트렌드 마이크로는 문제의 취약점을 노린 공격에 사용 된 공격 코드를 분석 한 결과, 다른 취약점과의 관련성을 여러 확인하고 이러한 취약점은 Flash Player 이외에도 다른 소프트웨어에 존재하는 것도 포함합니다. 이번 문제의 취약점 이용이 어떻게 수행되었는지에 대한 주요 사항에 대해 설명합니다.

■ 문제의 취약점 이용에 대해서
본질적으로 문제의 취약점은 Flash 개체의 컴파일 된 shader (쉐이더)를 해석 할 때에 일어나는 버퍼 오버 플로우입니다. 이 오버플로 인접한 Vector 객체를 포함하는 메모리 버퍼를 덮어 씁니다. 공격자는 인접한 Vector 객체의 length (길이)을 덮어 씁니다. 여기에서, 공격자는 몇 가지 프로세스를 수행하고 마지막으로 임의의 쉘 코드를 실행하는 것이 가능합니다.

이 익스플로잇 코드는 먼저 버퍼 오버 플로우를 이용하여 인접한 Vector 객체의 길이를 덮어 씁니다. 이 손상된 Vector는 인접한 Vector 객체에 매우 큰 길이의 값을 할당하는 데 이용 될 수 있습니다. 그리고이 Vector 객체는 PC의 메모리 영역을보기 위하여 이용되는 메모리 레이아웃 재배치 및 대상 데이터 검색을 실시합니다. 이 특정 기술은 매우 일반적인 것으로 Adobe Reader의 취약점 ' CVE-2013-0640 "과 Internet Explorer (IE)의 취약점" CVE-2013-3163 ',' CVE-2014-0322 "과 " CVE-2014-1776」등에서도 사용되었습니다.

이 손상된 Vector의 요소는 Flash 객체 "FileReference"의 주소를 확인하고 가짜 가상 테이블 포인터로 대체하기 위하여 이용됩니다. 이 가짜 가상 테이블 포인터는 쉘 코드를 가리키는 함수 "Cancel"만을 포함합니다. "FileReference.Cancel"을로드하면 공격의 임의의 쉘 코드가 실행됩니다. 이것은 완전히 같지는 않지만 'CVE-2014-0322'과 'CVE-2014-1776 "에 사용 된 Sound 객체를 이용하여"Sound.toString () "를 실행시키는 공격 수법과 유사 있습니다.

이 공격은 메모리 공간을 원하는대로 제어 할 수 있기 때문에 보안 기능 "Data Execution Prevention (데이터 실행 방지 DEP)"을 해결하는 것은 비교적 간단합니다. 공격자는 Flash ActiveX 플러그인 "Flash32_12_0_0_70.ocx"에 존재하는 특정 함수를 검색합니다. 이 함수는 버퍼 주소와 버퍼 길이의 2 개의 매개 변수를 사용 버퍼를 실행합니다. 이 주소는 가짜 개체 "FileReference"함수 "Cancel"의 주소를 대체하기 위하여 이용됩니다. 이 수취 후 첫 번째 단계의 쉘 코드가 실행됩니다. 여기서 유의해야 할 것은,이 공격은 공격 기법 "return-oriented programming (ROP)"를 전혀 사용하지 않고 이루어 졌다는 것입니다.

■ 트렌드 마이크로의 대책
Adobe는 문제의 취약점을 해결하는 Adobe Flash 업데이트를 공개 했습니다. 이 업데이트하면 Flash 13.0.0.206으로 업데이트됩니다. Trend Micro 제품을 준비 사용자가 이번 공격에 대응 한 다양한 솔루션을 사용할 수 있습니다. 당사의 브라우저를위한 취약점 이용 방지 기술 "브라우저 가드"는 문제의 취약점 이용을 시도 Web 사이트를 사전에 감지합니다.

Trend Micro 제품을 준비 사용자가 우리의 클라우드 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 "파일 평판"기술 취약점을 공격하는 악성 Flash 파일을 " SWF_EXPLOIT.RWF "로 감지하고 제거합니다.

[업데이트 정보]

2014/05/0716:40당사 서버 용 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안) "및" Trend Micro 취약점 방지 옵션 (PC-cillin 기업 판 플러그인 제품) "를 이용하는 고객은 다음 필터를 ​​적용하여 문제의 제로 데이 취약점을 이용한 공격으로부터 보호됩니다.

  • 1006031 - Adob​​e Flash Player Buffer Overflow Vulnerability (CVE-2014-0515)
  • 1006044 - Restrict Adob​​e Flash File With Embedded Pixel Bender Objects

참고 기사 :

  • Analyzing CVE-2014-0515 - The Recent Flash Zero-Day " 
    by Jack Tang (Threats Analyst)


    • 728x90
    저작자표시 비영리 변경금지

    '취약점 정보1' 카테고리의 다른 글

    2014-05-13 취약점정리  (0) 2014.05.13
    IBM java random patch  (0) 2014.05.13
    Cisco WebEx Recording Format Players 버퍼오버플로우 취약점 보안업데이트 권고  (0) 2014.05.10
    Microsoft May Patch Pre-Announcement  (0) 2014.05.10
    Mozilla Firefox 29.0.1 업데이트 안내  (0) 2014.05.10

    '취약점 정보1' Related Articles

    티스토리툴바