이 두가지 이슈는 in-the-wild에서 사용되기 전, 2018년 5월 패치 튜스데이에서 해결된 것들이다. 첫번째 제로데이는 어도비 아크로뱃과 리더에 존재하는 원격 코드 실행 취약점(CVE-2018-4990)이고, 두번째는 윈도우에 존재에는 권한 상승 취약점(CVE-2018-8120)이다.
보안 연구원은 블로그 게시글에서 “첫번째 익스플로잇은 해당 모듈의 컨텍스트에서 셸 코드를 실행해 어도비 자바스크립트 엔진을 공격한다. 두번째 익스플로잇은 윈도우 10과 같은 최신 플랫폼에 영향을 미치지는 않지만 어도비 리더 샌드박스 탈출을 허용하고, 윈도우 커널 메모리에서 권한 상승을 실행한다”고 설명한다.
3월 말, 이셋(ESET) 전문가들은 바이러스토탈에 업로드된 악성 PDF 파일을 분석해 마이크로소프트 보안팀에 제공했다. 전문가들은 알려지지 않은 윈도우 커널 취약점을 익스플로잇한 사례로 언급했다. 마이크로소프트 팀이 실시한 분석에 따르면, 해당 문서는 어도비 아크로뱃 리더에 대한 두개의 다른 제로데이 익스플로잇을 포함하고 있었다.
마이크로소프트에 따르면 무기화된 PDF 파일은 초기 개발 단계에 있었고, 공격자가 사용한 코드는 PoC 코드로 나타났다. 또한 파일은 악성 페이로드를 전달하지는 않았다. 연구원들은 “PDF 샘플들이 바이러스토탈에서 발견되기는 했지만, 이 익스플로잇을 사용해 실제 공격을 저지른 것은 아니다. PDF 파일 자체는 페이로드를 전달하지 않았고 PoC 코드인 것으로 보이며, 따라서 개발 초기 단계였음을 알 수 있다.”고 설명했다.
누군가가 두 개 제로데이를 결합해 매우 강력한 공격 벡터를 구축했다. 어도비 아크로뱃 리더 익스플로잇은 셸코드를 실행시키기 위해 소프트웨어에서 double-free 취약점을 트리거할 수 있는 자바스크립트 익스플로잇 코드를 포함하는 JPEG 2000 이미지로 포함되어 있었다.
공격자는 두번째 윈도우 커널 공격으로 해당 취약점들을 연달아 사용해, 어도비 리더 샌드박스를 공격해 상승된 권한으로 실행을 시도했다. 한번 어도비 리더 취약점을 익스플로잇한 후에는 윈도우 제로데이 결함을 활용해 샌드박스를 탈출할 수 있었다.
해커는 마이크로소프트 Win32k 제로데이를 통해 커널모드에서 실행되는 PE 파일을 실행시키기 위한 권한 상승이 가능하고, 어도비 아크로뱃 리더 샌드박스를 탈출, 시스템 레벨 접근을 얻을 수 있다. 샘플에 사용된 PoC 페이로드는 Startup 폴더에 빈 vbs 파일을 삭제한다.
연구원들은 샘플에 실제 악성 최종 페이로드가 포함되어 있지는 않지만, 제작자는 취약점 찾기 및 익스플로잇 작성에서 높은 수준의 기술을 보여주었다고 판단했다. 마이크로소프트와 ESET는 두가지 제로데이에 대한 기술 세부 사항을 발표했고, 익스플로잇에 대한 IoC도 공유했다.
★정보보안 대표 미디어 데일리시큐!★