0x06 vulnerability2010.09.15 15:00
 

CVE-2010-2883 취약점이 나온지 일주일만에 CVE-2010-2884 취약점이 나왔습니다.
아직까지 자세한 이야기는 나오지 않았지만 조만간 해당 취약점을 이용한 악성코드가 유표될 가능성이 커보입니다.

특히 CVE-2010-2884는 안드로이드폰에서 동작하는 Flash Player에도 취약점이 적용되기 때문에 
최근 급증하고 있는 스마트폰 사용자들은 주의를 기울이셔야 할 듯 합니다.

올해는 Adobe의 해(?)라고 해도 과언이 아닐 듯 싶은데요..

그래서 2009년부터 현재까지 이슈가 되었던 Adobe 0-day만 정리해봤습니다.
미리미리 정리해두었다면 쉬웠을텐데 
한꺼번에 할려니 잘 기억도 안나고 -_-;; 빠진것도 많이 있으리라 생각됩니다.


혹, 추가하고자 하시는 취약점이 있으시다면 덧글 달아주세요.
Thanks to 와 함께 제 블로그에 이름이 올라가실 수 있는 영광(?)을 드립니다. ;-)

If you know more 0-day vulnerability about adobe, plz write a comment.
Then I thanks to you and give you honor(?) that get into my post your name. ;-)



CVE Number : CVE-2009-0927
Release Date :  2009.03.04
Affected Version : Adobe Reader and Adobe Acrobat 9 before 9.1, 8 before 8.1.3 , and 7 before 7.1.1
Description : getIcon() Stack Overflow 취약점
Metasploit exploit : windows/fileformat/adobe_geticon
                            windows/browser/adobe_geticon


CVE Number : CVE-2009-4324
Release Date : 2009.12.15
Affected Version : Adobe Reader 9.2 and earlier versions for Windows, Macintosh, and UNIX 
                          Adobe Acrobat 9.2 and earlier versions for Windows and Macintosh 
Description : Doc.media.newPlayer method in Multimedia.api 취약점
Metasploit exploit : windows/fileformat/adobe_media_newplayer
                            windows/browser/adobe_media_newplayer


CVE Number : CVE-2010-1297
Release Date : 2010.06.04
Affected Version : Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions 
                          for Windows, Macintosh, Linux and Solaris
                          Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX 
Description : authplay.dll 컴포넌트 취약점
Metasploit exploit : windows/fileformat/adobe_flashplayer_newfunction
                            windows/browser/adobe_flashplayer_newfunction


CVE Number : CVE-2010-2883
Release Date : 2010.09.08
Affected Version : Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh
Description : Adobe Reader SING Table Parsing 취약점, DEP, ASLR 우회 동작
Metasploit exploit : windows/browser/adobe_cooltype_sing
                            windows/fileformat/adobe_cooltype_sing


CVE Number : CVE-2010-2884
Release Date : 2010.09.13
Affected Version : Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris, 
                          and Adobe Flash Player 10.1.92.10 for Android
                          Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh 
Description : 
Metasploit exploit : not yet



그리고 아래는 Metasploit에서 adobe로 검색한 결과입니다.
보시다시피 위에서 언급한 0-day 외에도 여러가지 exploit이 존재합니다.




저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 게시글에 취약점(?)이 있습니다.ㅎㅎ

    제목을 보세요~

    2010.09.15 15:21 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.12.23 15:21


exploit : windows/browser/adobe_media_newplayer
payload : generic/shell_reverse_tcp


click below




bindshell, execute command 모두 잘 됩니다.
아직 테스트 안해본건 executable download and execute인데 이것도 잘 될것으로 예상됩니다.
봇넷이 늘어나는게 아닌가 걱정되네요...


저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

0x02 analysis2009.12.16 16:27


New Adobe Reader and Acrobat Vulnerability

어도비 리더와 아크로뱃에서 새로운 취약점이 나왔다고 합니다.
어도비 리버와 아크로뱃 9.2버전 이하에서 해당 취약점을 통해 공격이 가능하다고 합니다.

구글링 중 미국 블로거를 통해 샘플을 확보해서 분석해 봤습니다. (Thanks Mila)

이미 바이러스랩님 블로그(http://viruslab.tistory.com/1364) 와 안랩ASEC(http://blog.ahnlab.com/asec/211)에 글이 실린것으로 보아 두개의 백신업체에서는 패턴을 만들고 있을 것으로 보입니다.




위 두개의 포스팅에서 얻은 정보를 토대로 - 0x37761부터 PE 파일이라는 정보 - exe 파일을 만들어 보았습니다.




아이콘이 상당히 조악한 파일이었습니다. 파일 설명은 "OfficeUpdate MFT 응용 프로그램" 입니다.

파일을 실행하면 http://update.microsoft.com/windowsupdate/v6/default.aspx을 요청합니다. 정상적인 요청은 아닌것으로 보이며 단순 눈속임으로 보입니다. 이 파일이 실행되면서 임시 파일을 만드는데 패킷을 떠보면 그 임시파일의 내용이 Response와 동일합니다.

디버거로 확인한 내용




패킷 덤프 내용




임시파일 내용




update.microsoft.com에 접속은 하지만 정상 사이트에서 오는 response는 무시해버리고 임시 파일에 있는 내용으로 대체하는 것으로 보입니다.

그런 후 hxxp://foruminspace.com/documents/dprk/ab.exe 를 요청하지만 파일이 없습니다. -_-;;
일단 악성도메인이니 막아야할 것으로 보입니다.

pdf를 실행하나 exe를 실행하나 동일한 현상을 나타내고 pdf 파일을 실행하면 아래와 같은 에러 메시지를 보여줍니다.




아래 루틴은 추가 악성코드를 다운로드하는 URL을 만들어내는 루틴입니다.




특정 위치의 값을 가져와서 XOR 연산을 합니다. 그러면서 실제 URL이 한글자씩 나오고 있습니다.

악성 pdf는 샘플을 두개 구했는데 모두 동일한 것으로 보입니다.
파일 사이즈도 동일하고 해쉬값도 동일하고 추가 악성코드 다운로드 경로도 동일합니다.


추가 악성코드 다운로드가 안되기 때문에 큰 문제는 없을 것으로 보이지만 패치가 나오기 전까지 조심하는게 좋을 것 같습니다.



갑자기 생각이 든게 foruminspace.com 사이트에 지금은 파일이 없는데
감염된 사람들은 이 사이트에 접속해서 파일을 요청을 하긴 할 것이고
얼마나 많이 접속하는지 확인하고나서 쫌 된다...싶으면
실제 파일 올려서 2차 감염시키는 행동을 하지 않을까...

이런 생각이 듭니다.

좀 더 추이를 살펴봐야 할 듯...

패치는 2010년 1월 12일경에 나올꺼라고 합니다.

그 전까지는 조심해야겠지요..







저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 비밀댓글입니다

    2010.02.19 20:19 [ ADDR : EDIT/ DEL : REPLY ]
    • 전 pdf-parser.py로 스크립트를 추출했습니다.
      아래 글 참고하세요~
      http://malwarelab.tistory.com/79

      2010.02.22 15:53 신고 [ ADDR : EDIT/ DEL ]