2012.01.31
안녕하세요. 안랩인입니다. 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었습니다.
해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였습니다.
아래 이미지와 동일한 MIDI 파일인 baby.mid는 MS12-004 취약점을 악용하도록 되어 있으며, 해당 취약점을 통해 ASLR/DEP를 모두 우회하여 공격자가 지정한 특정 코드를 실행 할 수 있도록 되어 있습니다.
일반적인 MIDI 파일 포맷은 Header Chunk 와 Track Chunks로 구성되어 있다. 그러나 이번에 발견된 악의적으로 조작된 MIDI 파일에서 Note On/OFF (소리내기/끄기) 명령어인 해당 Track Event 중 첫번째 파라미터인 "Note Number" 값은 최대 127까지 표현가능합니다.
그러므로, 이미지와 같이 B2(>128) 값으로 설정된 경우에는 오프셋(Offset) 계산 시 경계 범위를 넘게되어 잘못된 메모리 번지를 참조하게 되는 오류가 발생하게 됩니다. <Ahn>
* 더 자세한 내용은 ASEC홈페이지를 참고하세요
'AhnLab 보안in' 카테고리의 다른 글
| 안철수연구소에서 알려주는 안드로이드 악성코드 (0) | 2020.04.14 |
|---|---|
| 안철수연구소에서 알려주는 트위터 피싱 웹사이트! (0) | 2020.04.14 |
| 불량 백신에 의한 피해는 어떻게 발생하나요? - 이용편(1) - (0) | 2020.04.14 |
| 불량 백신에 의한 피해는 어떻게 발생하나요? - 설치편 - (0) | 2020.04.14 |
| 불량 백신 피해 사례 3 - 다른 소프트웨어 비용과 함께 청구되는 불량 백신 (0) | 2020.04.14 |
