해킹 팀(Hacking Team) 정보 유출 사고로 드러난 어도비 플래시의 새로운 제로데이 취약점(CVE-2015-5123)

게시일: 2015-07-11 l 작성자: Peter Pi (Threats Analyst)

해킹 팀의 유출된 데이터에서 두 건의 어도비 플래시 플레이어 제로 데이가 발견된 이후 우리는 동일한 데이터에서 또 다른 플래시 플레이어 제로 데이(CVE-2015-5123)를 발견하였습니다. 어도비는 이러한 제로데이가 보고된 직후 보안 공지를 발표하였습니다. 이 취약점의 등급은 긴급(critical)으로 성공적으로 악용될 경우 공격자는 감염된 시스템을 제어할 수 있게 되며 Windows, Mac 및 Linux에서 실행되는 모든 버전의 어도비 플래시를 감염시킵니다.

이 취약점은 최근 플래시에서 발견된 두 번째 제로데이 취약점입니다. CVE-2015-5122로 명명된 첫 번째 취약점 역시 감염된 시스템에 대한 제어권을 확보하는데 악용될 수 있었습니다. 이는 해킹 팀 정보 유출 사고로 수일 전 모습을 드러낸 첫 번째 플래시 제로데이에 이어 발견되었고 각종 익스플로잇 킷에 통합되었습니다. 이 외에도 연구원들은 해킹 팀 정보 유출과 관련 없는 다른 Java 제로데이도 찾아냈습니다.

근본원인 분석

분석 결과를 토대로 볼 때 이 취약점 역시 valueOf trick 버그 입니다. 하지만 첫 번째 두 플래시 제로데이 익스플로잇과 달리 이는 TextLine과 ByteArray가 아닌 BitmapData 개체를 포함하고 있습니다.

이 취약점은 다음의 단계를 거쳐 진행됩니다.

  1. BitmapData 개체에서 두 개의 Array 개체, 새로운 두 개의 MyClass 개체를 준비하고 각 Array 개체에 MyClass 개체를 할당합니다.
  2. MyClass의 valueOf 함수가 재정의(override)되면 매개변수로써 두 개의 Array 개체와 함께 BitmapData.paletteMap을 호출합니다.
  3. valueOf 함수에서, 이는 BitmapData 개체의 기본 메모리를 배치하기 위해 BitmapData.dispose()를 호출할 것이며 이로 인해 플래시 플레이어는 충돌을 일으키게 됩니다.

우리는 현재 이 제로데이 익스플로잇을 악용할 수도 있는 공격자들을 대상으로 이러한 POC(Proof-of-concept)을 모니터링하고 있으며 새로운 정보와 사실이 밝혀질 때마다 업데이트할 것입니다. 해킹 팀의 유출 정보가 이미 공개되었다는 점을 고려해볼 때 이젠 사용자들이 위험에 노출되었습니다. 따라서 어도비가 패치를 발표할 때까지 사용자들은 어도비 플래시 플레이어의 사용을 중단할 것을 권장합니다.

트렌드마이크로 사용자들은 Trend Micro™ Deep Discovery에 탑재되어 있으며 Script Analyzer 엔진이 장착된 샌드박스를 통해 이러한 위협으로부터 이미 보호를 받고 있으며 별도의 업데이트 없이도 활동을 기반으로 이러한 위협들을 탐지할 수 있습니다. 이 외에도 Trend Micro™ Smart Protection Suite의 엔드포인트 보안에 포함된 브라우저 익스플로잇 방지(Browser Exploit Prevention) 기능은 익스플로잇을 호스팅하는 URL을 사용자가 액세스하는 순간 이를 탐지합니다. 이 보안 기능은 브라우저나 관련 플러그 인을 표적으로 하는 익스플로잇을 탐지할 수 있습니다.

Trend Micro Deep Security의 취약점 방지 기능은 다음의 DPI 규칙에 따라 이 취약점을 악용할 수도 있는 각종 위협들로부터 사용자 시스템을 보호합니다:

  • 1006859 – Adobe Flash Player BitmapData Remote Code Execution Vulnerability (CVE-2015-5123)

이번 분석에 도움을 주신 어도비의 Peleus Uhley님께 감사를 드립니다.

해킹 팀의 유출 정보에서 발견된 취약점에 관한 게시물:

[업데이트] 2015년 7월 12일 오후 6:48 PDT, Trend Micro Deep Security 솔루션 추가

[업데이트] 2015년 7월 12일 오후 11:15 PDT, 이전 사건들에 대한 링크 추가.

원문: New Zero-Day Vulnerability (CVE-2015-5123) in Adobe Flash Emerges from Hacking Team Leak