최근 Microsoft에서 Internet Explorer에 영향을 주는 제로 데이 취약성을 다룬 보안 권고문(981374)을 발표했습니다. 이 취약성은 임의의 코드로 점프하는 데 사용되는 현수 포인터로 인해 발생되며, 이를 통해 원격 코드 실행이 가능하다고 합니다.
현재 이 취약성은 네트워크상에서 제한적인 표적 공격에 이용되고 있으며, Metasploit 프레임워크에 관련 공격 코드가 추가됨에 따라 향후 이 취약성을 이용하는 공격이 더욱 빈번히 발생할 것으로 예상되므로 주의가 요구됩니다.
-
Microsoft Windows 2000 서비스 팩 4의 Internet Explorer 6 서비스 팩 1
-
Internet Explorer 6
-
Internet Explorer 7
또한, 다음 제품은 영향을 받지 않는다고 합니다:
-
Microsoft Windows 2000 서비스 팩 4의 Internet Explorer 5.01 서비스 팩 4
-
Internet Explorer 8
참고로, 이 취약성을 이용하는 공격과 관련된 정보는 다음과 같습니다:
관련 URL:
hxxp://www.topix21century.com/military/notes.exe
hxxps://notes.topix21century.com/asp/kys_allow_get.asp?name=getkys.kys
strongtable.3322.org
hxxp://www.topix21century.com
관련 IP 주소:
209.53.155.244
123.117.16.245
관련 MD5 및 파일 이름:
a4bdddf14cee3cc8f6d4875b956384d2 notes.exe
f109ae53d3e18acb7c9a50951ba708bb wshipnotes.dll
또는
1a122bd0887e190537104783b83a183d svohost.exe
1a122bd0887e190537104783b83a183d (md5) clipsvc.exe (또는 note.exe)
961c693f52bf500d83df9076ae3e87bd wshipl.dll
참조:
Microsoft Security Advisory (981374)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/981374.mspx
ie_iepeers_pointer.rb
http://www.metasploit.com/redmine/projects/framework/repository/revisions/8770/entry/modules/exploits/windows/browser/ie_iepeers_pointer.rb
아울러, 최근 이 취약성을 이용하는 악성 코드에 대한 블로그 기사가 발표되어 공유하니 참고하시기 바랍니다.
Zero-Day attack on IE6 ? JS.Sykipot Doesn’t Spare Retired Software
출처 : http://blog.naver.com/cyber794
댓글