본문 바로가기

새빨간거짓말

[열두번째 거짓말] CVE-2011-1255 MS11-050 MS time element 취약점


최근 Flash 취약점이 맹~강세를 떨치고 있네요..
그래서인지 새롭게 악용되기 시작하는 MS IE 취약점은 상대적으로 관심에서 밀리는 걸까요???
서서히 침해사례들이 보고되고 있습니다.. 

간단히 정리해봅니다.. ^^

 
CVE-2011-1255
MS11-050 
Time Element Memory Corruption 취약점

http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx

# 악성 스크립트 코드




# EIP 변경지점 


제가 테스트한 환경은 Windows XP SP2 + IE6 으로, 취약점은 발생하나 쉘코드 실행까지는 완벽하게 재현되지가 않더군요.. 아마두,  ShellCode 에 사용된 고정주소(msvcrt.dll) 때문에 더 이상 진행이 되지 않는 모양입니다.. IE6의 경우, 77c54208 메모리가 Invalid한 번지네요.. T.T

또한, 다음과 같이 EIP 변경에 영향을 주는 EAX 레지스트리 값에는 실제 스크립트 상에서 title 에 쓰여지는 데이터 값이 위치하게 되어, 사용자 입력을 통해서 EIP 컨트롤이 가능하게 되더군요.. 

 



 

실제 쉘코드를 분석해보면, 다음과 같은 다운로드 URL을 통해 데이터를 다운로드하고 
디코딩 과정을 거쳐 PE를 생성하여 실행하도록 설계되어 있습니다. 

  - 다운로드 URL :  hxxp://[생략]istro.com/PopCalendar2005/CSS/Classic_Images/[생략].exe 

  - [생략].exe 를 받아서 디코딩 후 b[1].exe 생성 
  - WinExec 명령실행 :  cmd.exe /c copy  /B "[생략]\b[1].exe" /B %temp%\svchost.exe /y && start %temp%\svchost.exe