'adobe 0-day'에 해당되는 글 4건

  1. 2010.09.15 Adobe 0-day 취약점 정리(2009~2010) 2
  2. 2010.01.27 신종(?) 해킹메일 대량 유포 2
  3. 2009.12.23 Adobe 0-day Metasploit exploit
  4. 2009.12.22 Adobe 0-day 추가 악성코드 3
0x06 vulnerability2010. 9. 15. 15:00

Adobe 0-day 취약점 정리(2009~2010)

 

CVE-2010-2883 취약점이 나온지 일주일만에 CVE-2010-2884 취약점이 나왔습니다.
아직까지 자세한 이야기는 나오지 않았지만 조만간 해당 취약점을 이용한 악성코드가 유표될 가능성이 커보입니다.

특히 CVE-2010-2884는 안드로이드폰에서 동작하는 Flash Player에도 취약점이 적용되기 때문에 
최근 급증하고 있는 스마트폰 사용자들은 주의를 기울이셔야 할 듯 합니다.

올해는 Adobe의 해(?)라고 해도 과언이 아닐 듯 싶은데요..

그래서 2009년부터 현재까지 이슈가 되었던 Adobe 0-day만 정리해봤습니다.
미리미리 정리해두었다면 쉬웠을텐데 
한꺼번에 할려니 잘 기억도 안나고 -_-;; 빠진것도 많이 있으리라 생각됩니다.


혹, 추가하고자 하시는 취약점이 있으시다면 덧글 달아주세요.
Thanks to 와 함께 제 블로그에 이름이 올라가실 수 있는 영광(?)을 드립니다. ;-)

If you know more 0-day vulnerability about adobe, plz write a comment.
Then I thanks to you and give you honor(?) that get into my post your name. ;-)



CVE Number : CVE-2009-0927
Release Date :  2009.03.04
Affected Version : Adobe Reader and Adobe Acrobat 9 before 9.1, 8 before 8.1.3 , and 7 before 7.1.1
Description : getIcon() Stack Overflow 취약점
Metasploit exploit : windows/fileformat/adobe_geticon
                            windows/browser/adobe_geticon


CVE Number : CVE-2009-4324
Release Date : 2009.12.15
Affected Version : Adobe Reader 9.2 and earlier versions for Windows, Macintosh, and UNIX 
                          Adobe Acrobat 9.2 and earlier versions for Windows and Macintosh 
Description : Doc.media.newPlayer method in Multimedia.api 취약점
Metasploit exploit : windows/fileformat/adobe_media_newplayer
                            windows/browser/adobe_media_newplayer


CVE Number : CVE-2010-1297
Release Date : 2010.06.04
Affected Version : Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions 
                          for Windows, Macintosh, Linux and Solaris
                          Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX 
Description : authplay.dll 컴포넌트 취약점
Metasploit exploit : windows/fileformat/adobe_flashplayer_newfunction
                            windows/browser/adobe_flashplayer_newfunction


CVE Number : CVE-2010-2883
Release Date : 2010.09.08
Affected Version : Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh
Description : Adobe Reader SING Table Parsing 취약점, DEP, ASLR 우회 동작
Metasploit exploit : windows/browser/adobe_cooltype_sing
                            windows/fileformat/adobe_cooltype_sing


CVE Number : CVE-2010-2884
Release Date : 2010.09.13
Affected Version : Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris, 
                          and Adobe Flash Player 10.1.92.10 for Android
                          Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh 
Description : 
Metasploit exploit : not yet



그리고 아래는 Metasploit에서 adobe로 검색한 결과입니다.
보시다시피 위에서 언급한 0-day 외에도 여러가지 exploit이 존재합니다.




저작자표시 비영리 변경금지
Posted by demantos
0x04 reference&tools2010. 1. 27. 09:06

신종(?) 해킹메일 대량 유포


드디어 국내에 adobe 0-day 취약점을 공격하는 메일이 상륙한 듯 합니다.
해외에서 돌던 메일과 다른점이라면 메일 제목을 클릭해서 메일을 열람하는 것만으로도 악성 pdf 다운로드 후 감염이 된다는거겠지요.. 해외에서 돌던 메일은 첨부파일을 따로 다운로드하는 형식이었습니다.




해외에서 돌던 악성 pdf들 몇개 확인해서 도메인/IP를 차단했는데 몇개 더 확인해봐야겠습니다.
이번 사건과 관련된 샘플이 있다면 더 좋겠지만요..
hotmail 메일함 뒤져봐야겠습니다. ㅋㅋ


메일 제목 클릭만으로 PC를 감염시키는 해킹메일이 대량으로 유포되고 있어, 자료유출 등의 피해가 예상됨에 따라 사이버 위기 '관심'경보가 발령(국정원 국가사이버안전센터, 1.25(월) 17시)
 
■ 주요 특징

  o 해커는 주로 해외의 Gmail, Yahoo, Hotmail 계정을 이용하여 발신자 명의만 국내인(지인 또는 공공단체 · 기업)으로 가장, 해킹메일 발송
 
  o 메일 제목을 클릭하면 로그아웃된 것처럼 다시 로그인 화면을 표시하여메일 수신자로 하여금 ID/PW를 再입력토록 유도

  o 메일 수신자가 ID/PW를 입력하면 입력내용이 해커에게 유출

  o 로그인 화면이 표시됨과 동시에 ID/PW 입력여부와 상관없이 iFrame 태그 등을 이용, 은밀히 악성 PDF파일을 다운로드 ·실행시켜 해당 PC에 자료유출형 악성코드 설치
 
 
* 기타
■ 메일 예시 (보낸이 한글이름)
- 국회 금융정책 연구원 안내문입니다.
 
■  의심스러운 이메일 사례 (과거)
[사례1] OO기관 행정관 명의 도용 해킹메일 => 메일제목 : 외교안보수석실 참고자료
[사례2] 외교통상부 OOO대사 명의도용 해킹메일 => 메일제목 : 2010년 한반도정세전망관련
[사례3] 첨부파일 열람유도 해킹메일 => 메일제목 : 김정일 방중일정
[사례4] 군 동기 사칭 해킹메일 => 메일제목 : 새해 2010년 건승을 기원합니다

저작자표시 비영리 변경금지
Posted by demantos
0x02 analysis2009. 12. 23. 15:21

Adobe 0-day Metasploit exploit


exploit : windows/browser/adobe_media_newplayer
payload : generic/shell_reverse_tcp


click below




bindshell, execute command 모두 잘 됩니다.
아직 테스트 안해본건 executable download and execute인데 이것도 잘 될것으로 예상됩니다.
봇넷이 늘어나는게 아닌가 걱정되네요...


저작자표시 비영리 변경금지
Posted by demantos
0x02 analysis2009. 12. 22. 13:01

Adobe 0-day 추가 악성코드



Adobe 0-day 추가 악성코드 샘플을 구했습니다.
그리고 지난번 글에서 다운로드되지 않았던 ab.exe 파일도 확보를 했습니다.

E:\04.analysis\binary\20091216_adobe reader\malware> md5sum *.*
686738eb5bb8027c524303751117e8a9 *ab.exe
8950bbedf4a7f1d518e859f9800f9347 *crazyphoto.pdf
955bade419a9ba9e5650ccb3dda88844 *merry_christmas.pdf
61baabd6fc12e01ff73ceacc07c84f9a *note200911.pdf
61baabd6fc12e01ff73ceacc07c84f9a *note_20091210.pdf
35e8eeee2b94cbe87e3d3f843ec857f6 *outline of interview.pdf
0ab2fd3b6c385049f9eb4a559dbdc8a6 *海基會協商代表團預備性磋商名單.pdf

E:\04.analysis\binary\20091216_adobe reader\malware> ssdeep *.*
ssdeep,1.0--blocksize:hash:hash,filename
6144:53Gcbn2gnsuwtasAlbkdIiXb8K/hYcZVnHIbNwJBBp5:JbwtasAV+xffZ5X5,"E:\04.analysis\binary\20091216_adobe reader\malware\ab.exe"
768:bsg8fN3eX7k3GHsF90azVWqaYXCqntyhovHhv/MVsMepOF:bTYN3z3UscazpXM25EZepG,"E:\04.analysis\binary\20091216_adobe reader\malware\crazyphoto.pdf"
24576:hX+rECBhOc3cZUJe3xcxzV78/g4b3PlD4A8C0u2IcwrjefQM8rkAC:hOrHOcaye3x+V8Y4zH8C1XaoMIc,"E:\04.analysis\binary\20091216_adobe reader\malware\merry_christmas.pdf"
1536:p0AAH2KthGBjcdBj8VETeePxsT65ZZ3pdx/ves/aQR/875+:prahGV6Bj8VE9sT6BpfneilR/8k,"E:\04.analysis\binary\20091216_adobe reader\malware\note200911.pdf"
1536:p0AAH2KthGBjcdBj8VETeePxsT65ZZ3pdx/ves/aQR/875+:prahGV6Bj8VE9sT6BpfneilR/8k,"E:\04.analysis\binary\20091216_adobe reader\malware\note_20091210.pdf"
3072:prahGV6Bj8VE9sT6BpfneiL0jbupQ1S8ZTW5RxSDeF87OiE53a0WYtjdMJokl:pYBj8V7yaRSQTWX8Deu36SmxMJ3,"E:\04.analysis\binary\20091216_adobe reader\malware\outline of interview.pdf"
3072:k36u5/nLzdqJdVmK6pM8qffaRlOxpKs3i1AE:iLzdqJdMfphqfCRlOxpK2i1D,"E:\04.analysis\binary\20091216_adobe reader\malware\???????????????.pdf"


Virustal 검사 결과는 아래를 참조하시기 바랍니다.

note200911.pdf - 11월 30일
http://www.virustotal.com/ko/analisis/27cced58a0fcbb0bbe3894f74d3014611039fefdf3bd2b0ba7ad85b18194cffa-1261453238

note_20091210.pdf - 12월 11일
http://www.virustotal.com/ko/analisis/27cced58a0fcbb0bbe3894f74d3014611039fefdf3bd2b0ba7ad85b18194cffa-1261453573

ab.exe - note_20091210.pdf를 통해 다운로드하는 파일(foruminspace.com)
http://www.virustotal.com/ko/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1261453471

outline of interview.pdf - 12월 13일
http://www.virustotal.com/ko/analisis/cd508c488bb3b0234ff480cc455761f8003ea584c4ddcc6901f2f5eea66cd25a-1261453917

merry_christmas.pdf - 12월 18일
http://www.virustotal.com/ko/analisis/8ccc882c18d927b57a33f8c6bae4d0eec3290ac7ab1d1157725918feab76ec01-1261453597

crazyphoto.pdf - 12월 18일
http://www.virustotal.com/ko/analisis/55227b229a113d8a93d823466ebdd7a94c77fa37126b330818b41d49bd9a73de-1261453598

海基會協商代表團預備性磋商名單.pdf - 12월 21일
http://www.virustotal.com/ko/analisis/0c148cfceccea8f0988021d266cfb0668b577bf77a9271bc47cfa7c93305ccc5-1261453673




국산 엔진들은 12월 18일 이후에 발견된 악성코드에 대해서 탐지를 못하고 있었습니다. 단, 21일 발견된 파일을 nProtect만 Exploit.PDF-JS.Gen.C02으로 탐지하고 있었습니다.






저작자표시 비영리 변경금지
Posted by demantos

티스토리툴바