윈도우 제로데이 MOTW 취약점,
매그니베르 랜섬웨어 감염까지
Microsoft의 MOTW(Mark-of-the-Web)라는 보안 기능을 우회해
보안 경고 없이 악성 첨부파일을 실행하는
두 가지 *제로데이 취약점이 발견되었습니다.
CERT/CC의 소프트웨어 취약점 분석가였던 윌 도먼(Will Dormann)은
이 취약점을 발견해 각각 7월 7일, 10월 초에 Microsoft에 알렸습니다.
*제로데이 취약점이란 특정 소프트웨어의 보안 취약점이 발견되었지만, 아직 패치되지 않은 것을 말합니다.
MOTW(Mark-of-the-Web)는
MS에서 도입한 윈도우의 기본 보안 기능 중 하나입니다.
사용자가 인터넷에서 파일을 다운로드할 때
Mark-of-the-Web 태그를 추가해
파일이 실행될 때 보안 경고를 표시하도록 합니다.
첫 번째 취약점은 zip 압축파일 안에 있는 파일에는
MOTW 태그가 붙지 않는다는 것입니다.
도먼은 “이 취약점을 이용하면 공격자들이 MoTW 태그가 붙지 않아
아무런 제한 없이 피해자의 시스템에 악성 파일을 심고
임의의 코드를 실행시킬 수 있게 됩니다.”라고 밝혔습니다.
두 번째 취약점은 *디지털 인증 서명이 손상된 파일에서 발생합니다.
도먼은 “오센티코드 서명에 오류가 있을 때 특정 버전의 윈도우 OS에서는
보안 경고를 표시하지 않고 그대로 파일을 실행합니다.
윈도우 디펜더 스마트스크린(SmartScreen) 등의 보호 장치들이
제대로 작동하지 않습니다.”라고 밝혔습니다.
*디지털 인증 서명은 오센티코드(Authenticode)라는 MS의 코드 서명 기술을 말합니다.
HP 위협 인텔리전스 팀은
최근 공격자가 손상된 서명으로 MoTW 취약점을 이용해
JavaScript 파일로 Magniber 랜섬웨어를 유포하고 있다고 보고했습니다.
Magniber는 한국을 집중 타깃으로 하는 랜섬웨어 중 하나입니다.
이 Magniber JavaScript 파일의 특징은 Mark-of-a-Web이 있지만
Windows에서 실행될 때 보안 경고를 표시하지 않았다는 것입니다.
분석 결과, JavaScript 파일은
손상된 서명을 사용한 것으로 확인되었습니다.
제로패치(0patch)는 MOTW에서 발견된 새로운 윈도우 제로데이
취약점에 대한 무료 비공식 패치를 공개했습니다.
Windows에 비공식 패치를 적용하려면 0patch 무료 계정 등록 후,
0patch Agent를 설치해야 합니다.
MIR News
[ MoTW(Mark-of-the-Web) 편 ]
[ 출처 ]
https://twitter.com/wdormann/status/1544416883419619333?s=20&t=GDB7mxjgezdNsV5dtna-6Q
[ 무료 비공식 패치 업데이트 ]
https://blog.0patch.com/2022/10/free-micropatches-for-bypassing-motw.html
https://central.0patch.com/auth/login
감사합니다.
제작 : MIR Team
문의 : mss_analysis@cyberone.kr
블로그 : https://mir.team
페이스북 : https://www.facebook.com/mirteamofficial
블랙프라이데이ꞏ크리스마스ꞏ설날, 해커로부터 개인정보를 지키는 방법 5가지 (0) | 2022.11.28 |
---|---|
Lenovo 노트북 25종, 보안 부팅 우회하는 취약점 발견 (0) | 2022.11.15 |
새로운 백도어 Maggie 등장, 국내 MS-SQL 서버 위험 (0) | 2022.10.11 |
나도 모르는 사이 빅테크 기업으로 전송되고 있는 개인 정보? Spell-Jacking 주의 (0) | 2022.09.29 |
안전한 추석을 위한 "추석 명절 정보 보안 수칙" (0) | 2022.09.01 |
댓글 영역