'CVE-2009-4324' 태그의 글 목록

'CVE-2009-4324'에 해당되는 글 3건

2010.09.15 Adobe 0-day 취약점 정리(2009~2010) 2
2009.12.23 Adobe 0-day Metasploit exploit
2009.12.16 Adobe Reader and Acrobat 취약점 공격 악성코드(note_20091210.pdf) 분석 2

Adobe 0-day 취약점 정리(2009~2010)

CVE-2010-2883 취약점이 나온지 일주일만에 CVE-2010-2884 취약점이 나왔습니다.

아직까지 자세한 이야기는 나오지 않았지만 조만간 해당 취약점을 이용한 악성코드가 유표될 가능성이 커보입니다.

특히 CVE-2010-2884는 안드로이드폰에서 동작하는 Flash Player에도 취약점이 적용되기 때문에

최근 급증하고 있는 스마트폰 사용자들은 주의를 기울이셔야 할 듯 합니다.

올해는 Adobe의 해(?)라고 해도 과언이 아닐 듯 싶은데요..

그래서 2009년부터 현재까지 이슈가 되었던 Adobe 0-day만 정리해봤습니다.

미리미리 정리해두었다면 쉬웠을텐데

한꺼번에 할려니 잘 기억도 안나고 -_-;; 빠진것도 많이 있으리라 생각됩니다.

혹, 추가하고자 하시는 취약점이 있으시다면 덧글 달아주세요.

Thanks to 와 함께 제 블로그에 이름이 올라가실 수 있는 영광(?)을 드립니다. ;-)

If you know more 0-day vulnerability about adobe, plz write a comment.

Then I thanks to you and give you honor(?) that get into my post your name. ;-)

CVE Number : CVE-2009-0927

Release Date : 2009.03.04

Affected Version : Adobe Reader and Adobe Acrobat 9 before 9.1, 8 before 8.1.3 , and 7 before 7.1.1

Description : getIcon() Stack Overflow 취약점

Metasploit exploit : windows/fileformat/adobe_geticon

windows/browser/adobe_geticon

Reference URL : http://www.adobe.com/support/security/bulletins/apsb09-04.html

CVE Number : CVE-2009-4324

Release Date : 2009.12.15

Affected Version : Adobe Reader 9.2 and earlier versions for Windows, Macintosh, and UNIX

Adobe Acrobat 9.2 and earlier versions for Windows and Macintosh

Description : Doc.media.newPlayer method in Multimedia.api 취약점

Metasploit exploit : windows/fileformat/adobe_media_newplayer

windows/browser/adobe_media_newplayer

Reference URL : http://www.adobe.com/support/security/advisories/apsa09-07.html

CVE Number : CVE-2010-1297

Release Date : 2010.06.04

Affected Version : Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions

for Windows, Macintosh, Linux and Solaris

Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX

Description : authplay.dll 컴포넌트 취약점

Metasploit exploit : windows/fileformat/adobe_flashplayer_newfunction

windows/browser/adobe_flashplayer_newfunction

Reference URL : http://www.adobe.com/support/security/advisories/apsa10-01.html

CVE Number : CVE-2010-2883

Release Date : 2010.09.08

Affected Version : Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX

Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh

Description : Adobe Reader SING Table Parsing 취약점, DEP, ASLR 우회 동작

Metasploit exploit : windows/browser/adobe_cooltype_sing

windows/fileformat/adobe_cooltype_sing

Reference URL : http://www.adobe.com/support/security/advisories/apsa10-02.html

CVE Number : CVE-2010-2884

Release Date : 2010.09.13

Affected Version : Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris,

and Adobe Flash Player 10.1.92.10 for Android

Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX

Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh

Description :

Metasploit exploit : not yet

Reference URL : http://www.adobe.com/support/security/advisories/apsa10-03.html

그리고 아래는 Metasploit에서 adobe로 검색한 결과입니다.

보시다시피 위에서 언급한 0-day 외에도 여러가지 exploit이 존재합니다.

저작자표시 비영리 변경금지

Posted by demantos

Adobe 0-day Metasploit exploit

exploit : windows/browser/adobe_media_newplayer
payload : generic/shell_reverse_tcp

click below

bindshell, execute command 모두 잘 됩니다.
아직 테스트 안해본건 executable download and execute인데 이것도 잘 될것으로 예상됩니다.
봇넷이 늘어나는게 아닌가 걱정되네요...

저작자표시 비영리 변경금지

Posted by demantos

Adobe Reader and Acrobat 취약점 공격 악성코드(note_20091210.pdf) 분석

New Adobe Reader and Acrobat Vulnerability

어도비 리더와 아크로뱃에서 새로운 취약점이 나왔다고 합니다.
어도비 리버와 아크로뱃 9.2버전 이하에서 해당 취약점을 통해 공격이 가능하다고 합니다.

구글링 중 미국 블로거를 통해 샘플을 확보해서 분석해 봤습니다. (Thanks Mila)

이미 바이러스랩님 블로그(http://viruslab.tistory.com/1364) 와 안랩ASEC(http://blog.ahnlab.com/asec/211)에 글이 실린것으로 보아 두개의 백신업체에서는 패턴을 만들고 있을 것으로 보입니다.

위 두개의 포스팅에서 얻은 정보를 토대로 - 0x37761부터 PE 파일이라는 정보 - exe 파일을 만들어 보았습니다.

아이콘이 상당히 조악한 파일이었습니다. 파일 설명은 "OfficeUpdate MFT 응용 프로그램" 입니다.

파일을 실행하면 http://update.microsoft.com/windowsupdate/v6/default.aspx을 요청합니다. 정상적인 요청은 아닌것으로 보이며 단순 눈속임으로 보입니다. 이 파일이 실행되면서 임시 파일을 만드는데 패킷을 떠보면 그 임시파일의 내용이 Response와 동일합니다.

디버거로 확인한 내용

패킷 덤프 내용

임시파일 내용

update.microsoft.com에 접속은 하지만 정상 사이트에서 오는 response는 무시해버리고 임시 파일에 있는 내용으로 대체하는 것으로 보입니다.

그런 후 hxxp://foruminspace.com/documents/dprk/ab.exe 를 요청하지만 파일이 없습니다. -_-;;
일단 악성도메인이니 막아야할 것으로 보입니다.

pdf를 실행하나 exe를 실행하나 동일한 현상을 나타내고 pdf 파일을 실행하면 아래와 같은 에러 메시지를 보여줍니다.

아래 루틴은 추가 악성코드를 다운로드하는 URL을 만들어내는 루틴입니다.

특정 위치의 값을 가져와서 XOR 연산을 합니다. 그러면서 실제 URL이 한글자씩 나오고 있습니다.

악성 pdf는 샘플을 두개 구했는데 모두 동일한 것으로 보입니다.
파일 사이즈도 동일하고 해쉬값도 동일하고 추가 악성코드 다운로드 경로도 동일합니다.

추가 악성코드 다운로드가 안되기 때문에 큰 문제는 없을 것으로 보이지만 패치가 나오기 전까지 조심하는게 좋을 것 같습니다.

갑자기 생각이 든게 foruminspace.com 사이트에 지금은 파일이 없는데
감염된 사람들은 이 사이트에 접속해서 파일을 요청을 하긴 할 것이고
얼마나 많이 접속하는지 확인하고나서 쫌 된다...싶으면
실제 파일 올려서 2차 감염시키는 행동을 하지 않을까...

이런 생각이 듭니다.

좀 더 추이를 살펴봐야 할 듯...

패치는 2010년 1월 12일경에 나올꺼라고 합니다.

그 전까지는 조심해야겠지요..

저작자표시 비영리 변경금지

Posted by demantos

malwareL4B

'CVE-2009-4324'에 해당되는 글 3건

Adobe 0-day 취약점 정리(2009~2010)

Adobe 0-day Metasploit exploit

Adobe Reader and Acrobat 취약점 공격 악성코드(note_20091210.pdf) 분석

카테고리

태그목록

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

링크

티스토리툴바