윈도우 제로데이 MOTW 취약점, 매그니베르 랜섬웨어 감염까지

 

윈도우 제로데이 MOTW 취약점,
매그니베르 랜섬웨어 감염까지

 

 

Microsoft의 MOTW(Mark-of-the-Web)라는 보안 기능을 우회해 
보안 경고 없이 악성 첨부파일을 실행하는 
두 가지 *제로데이 취약점이 발견되었습니다. 
CERT/CC의 소프트웨어 취약점 분석가였던 윌 도먼(Will Dormann)은 
이 취약점을 발견해 각각 7월 7일, 10월 초에 Microsoft에 알렸습니다.

*제로데이 취약점이란 특정 소프트웨어의 보안 취약점이 발견되었지만, 아직 패치되지 않은 것을 말합니다.

 

 

MOTW(Mark-of-the-Web)는
MS에서 도입한 윈도우의 기본 보안 기능 중 하나입니다. 
사용자가 인터넷에서 파일을 다운로드할 때 
Mark-of-the-Web 태그를 추가해 
파일이 실행될 때 보안 경고를 표시하도록 합니다.

 

 

첫 번째 취약점은 zip 압축파일 안에 있는 파일에는 
MOTW 태그가 붙지 않는다는 것입니다.
도먼은 “이 취약점을 이용하면 공격자들이 MoTW 태그가 붙지 않아 
아무런 제한 없이 피해자의 시스템에 악성 파일을 심고 
임의의 코드를 실행시킬 수 있게 됩니다.”라고 밝혔습니다.

 

 

두 번째 취약점은 *디지털 인증 서명이 손상된 파일에서 발생합니다.
도먼은 “오센티코드 서명에 오류가 있을 때 특정 버전의 윈도우 OS에서는 
보안 경고를 표시하지 않고 그대로 파일을 실행합니다. 
윈도우 디펜더 스마트스크린(SmartScreen) 등의 보호 장치들이 
제대로 작동하지 않습니다.”라고 밝혔습니다.

*디지털 인증 서명은 오센티코드(Authenticode)라는 MS의 코드 서명 기술을 말합니다. 

 

 

HP 위협 인텔리전스 팀은 
최근 공격자가 손상된 서명으로 MoTW 취약점을 이용해 
JavaScript 파일로 Magniber 랜섬웨어를 유포하고 있다고 보고했습니다. 
Magniber는 한국을 집중 타깃으로 하는 랜섬웨어 중 하나입니다.

 

 

이 Magniber JavaScript 파일의 특징은 Mark-of-a-Web이 있지만 
Windows에서 실행될 때 보안 경고를 표시하지 않았다는 것입니다.
분석 결과, JavaScript 파일은 
손상된 서명을 사용한 것으로 확인되었습니다.

 

 

제로패치(0patch)는 MOTW에서 발견된 새로운 윈도우 제로데이 
취약점에 대한 무료 비공식 패치를 공개했습니다. 
Windows에 비공식 패치를 적용하려면 0patch 무료 계정 등록 후, 
0patch Agent를 설치해야 합니다.

 

 

MIR News

[ MoTW(Mark-of-the-Web) 편 ]

 

[ 출처 ]

https://twitter.com/wdormann/status/1544416883419619333?s=20&t=GDB7mxjgezdNsV5dtna-6Q 

https://www.bleepingcomputer.com/news/microsoft/windows-mark-of-the-web-bypass-zero-day-gets-unofficial-patch/ 

https://www.bleepingcomputer.com/news/security/exploited-windows-zero-day-lets-javascript-files-bypass-security-warnings/ 

 

[ 무료 비공식 패치 업데이트 ]

https://blog.0patch.com/2022/10/free-micropatches-for-bypassing-motw.html

https://central.0patch.com/auth/login

 

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial