Skip to content

보안공지

트렌드마이크로 가상패치 업데이트 - CVE-2012-1875 취약점을 이용한 악성코드  [2012-06-26]

 

지난 6월 13일 마이크로소프트는 인터넷 익스플로러(2699988) 누적 보안 업데이트를 발표 하였습니다. 이 가운데 '동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)'을 이용한 악성코드가 발견되어 사용자들의 주의가 요구되고 있습니다.

해당 취약점은 인터넷 익스플로러가 삭제된 개체에 액세스하는 방식에 원격 코드 실행 취약점이 존재합니다. 취약점으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다.

이 취약점을 악용한 스크립트는 트렌드마이크로의 진단명 'JS_DLOADER.SMGA'로 패턴 9.205.00(2012. 6. 20) 이상 버전에서 진단/제거가 가능합니다.

그리고 악의적인 링크로 연결 후 악성 파일을 추가로 다운로드 될 수 있습니다.

  • http://{생략}.{생략}.241.239/css.htm
  • http://{생략}.{생략}.241.239/javaw.exe : 'BKDR_AGENT.BCSG' 진단
  • http://{생략}.{생략}.236.143/english/cala.exe : 'TROJ_AGENT.BCSH' 진단

위 'BKDR_AGENT.BCSG'는 .JPG 파일로 위장하여 시스템에 다운로드 되며, 80포트를 통해 C&C 서버와의 통신이 가능하게 됩니다.

해당 악성코드들은 트렌드마이크로 패턴 9.205.00 이상 버전에서 진단/제거가 가능합니다. 그리고 CVE-2012-1875에 대한 취약점은 트렌드마이크로의 종합 보안 제품 Deep Security 또는 오피스스캔 IDF(취약점 방지 옵션)을 이용하여 최신 버전의 필터를 적용하면 이 취약점을 이용하는 공격으로부터 시스템을 보호 할 수 있습니다.

트렌드마이크로 취약점 패치 룰 업데이트 정보:

마이크로소프트 Bulletin ID 취약점 ID 룰 번호 및 제목 Deep Security 패턴 버전 Deep Security 패턴 발표 날짜
MS12-037 CVE-2012-1875 1005051 - Internet Explorer Same ID Property Remote Code Execution Vulnerability (CVE-2012-1875) 12-015 2012.6.12

영향받는 소프트웨어 확인 및 취약점 상세정보:
http://technet.microsoft.com/ko-kr/security/bulletin/ms12-037


Connect with KR on