최근 Flash 취약점이 맹~강세를 떨치고 있네요..
그래서인지 새롭게 악용되기 시작하는 MS IE 취약점은 상대적으로 관심에서 밀리는 걸까요???
서서히 침해사례들이 보고되고 있습니다..
간단히 정리해봅니다.. ^^
CVE-2011-1255
MS11-050
Time Element Memory Corruption 취약점
MS11-050
Time Element Memory Corruption 취약점
http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx
# 악성 스크립트 코드
# EIP 변경지점
제가 테스트한 환경은 Windows XP SP2 + IE6 으로, 취약점은 발생하나 쉘코드 실행까지는 완벽하게 재현되지가 않더군요.. 아마두, ShellCode 에 사용된 고정주소(msvcrt.dll) 때문에 더 이상 진행이 되지 않는 모양입니다.. IE6의 경우, 77c54208 메모리가 Invalid한 번지네요.. T.T
또한, 다음과 같이 EIP 변경에 영향을 주는 EAX 레지스트리 값에는 실제 스크립트 상에서 title 에 쓰여지는 데이터 값이 위치하게 되어, 사용자 입력을 통해서 EIP 컨트롤이 가능하게 되더군요..
실제 쉘코드를 분석해보면, 다음과 같은 다운로드 URL을 통해 데이터를 다운로드하고
디코딩 과정을 거쳐 PE를 생성하여 실행하도록 설계되어 있습니다.
- 다운로드 URL : hxxp://[생략]istro.com/PopCalendar2005/CSS/Classic_Images/[생략].exe
- [생략].exe 를 받아서 디코딩 후 b[1].exe 생성
- WinExec 명령실행 : cmd.exe /c copy /B "[생략]\b[1].exe" /B %temp%\svchost.exe /y && start %temp%\svchost.exe
- WinExec 명령실행 : cmd.exe /c copy /B "[생략]\b[1].exe" /B %temp%\svchost.exe /y && start %temp%\svchost.exe
'새빨간거짓말' 카테고리의 다른 글
[소식] 9.11 악성코드 배포 (0) | 2013.09.11 |
---|---|
[열한번째 거짓말] CVE-2011-2110 Adobe Flash 취약점 (53) | 2011.07.06 |
[열번째 거짓말] Droid Dream Light(DDLight) 분석 (1) | 2011.06.01 |
[아홉번째 거짓말]CVE-2011-0611 Flash 제로데이 취약점 (12) | 2011.04.12 |
[여덟번째 거짓말]CVE-2010-3970 thumbnail image 취약점 (0) | 2011.01.12 |