본문 바로가기

사소한거짓말

CVE-2010-3970 thumbnail 취약점 공격사례


기억하실지 모르겠지만, CVE-2010-3970은 지난번 8번째 새빨간 거짓말으로 블로깅되었던 MS Windows thumbnail 이미지 코드 실행 취약점입니다.

[RedHidden] http://redhidden.tistory.com/6
[Sematic Blog] http://sematic.net/blog/?p=80

위의 글을 블로깅할 때만해도 취약점 PoC 파일은 공개되었지만, 
실제 공격사례가 발견되지 않았기 때문에 "다들 주의합시다~~"  로만 일단락 되었었죠.. ^^;;

오늘 드뎌 contagio를 통해서 실제 공격사례가 공개되었네요..
다행스러운 건 이미 해당 취약점이 MS 2월 정기보안패치(MS11-006) 를 통해 패치가 발표되었다는 점입니다.
URL:http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx
아직 미패치라면 패치를.. ^^;;;

그럼, 해당 사례가 어떤 건지 간단히 살펴보고 갈까요??

[contagio] http://contagiodump.blogspot.com/2011/02/cve-2010-3970-doc-secretary-general.html

아무래도 메일 발송지가 KR로 되어 있는 것으로보니 좀비 PC가 무작위 취약점 스팸메일을 발송하는 것으로 추정됩니다...

= 메일 발생주소지 : LG DACOM(Korea)
= 송신자 메일주소 : Taiwan Yahoo WebMail Address (@yahoo.com.tw)
= 메일본문 : 중국어 본문
= 첨부파일 :  43개의 정상 이미지파일 + 취약점.doc 파일(CVE-2010-3970) 을 7zip으로 압축