MS XML Core Service 제로데이 취약점 이용한 ARP스푸핑 주의
안녕하세요. 알약대응팀입니다.Microsoft XML Core Service 제로데이 취약점을 이용한 ARP스푸핑 공격에 따른 피해가 급증하고 있어 사용자들의 주의가 필요합니다.
공격자가 원격으로 임의의 코드를 실행할 수 있는 코드 실행 취약점인 CVE-2012-1889 취약점을 악용하여 6월 중순부터 여러가지 형태의 악성코드가 유포되고 있습니다. 특히 6/27경부터는 ARP스푸핑 공격 기능을 포함한 악성코드들이 제로데이 취약점을 이용하여 유포되고 있으며, 아직 정식 보안패치가 릴리즈되지 않은 상황이기 때문에 감염된 PC가 포함된 같은 대역의 네트워크의 PC를 손쉽게 추가 감염시키고 있습니다. 또한, 감염된 PC는 ARP스푸핑 공격 시도 외에도 사용자PC의 Mac주소를 공격자에게 전송하며, 사용자PC에 추가 악성코드를 설치하여 공격자의 명령을 받게 되는 좀비PC로 만듭니다. 더욱 큰 피해가 우려되는 상황입니다.
알약에서는 현재 해당 악성코드들에 대해 Exploit.CVE-2012-1889.Gen / Trojan.Dropper.Agent.7508460 / Spyware.OnlineGames-GLG로 탐지중이며, 별도의 전용백신을 제작하여 배포중입니다.
[전용백신 다운로드]
전용백신 다운로드[예방 방법]
해당 악성코드 감염이 확인되는 경우, 악성코드 치료 후 MS의 임시 보안패치 내용 (http://support.microsoft.com/kb/2719615)을 참고하시어 Fix it 솔루션을 적용해주시는 것을 권장드립니다. 물론 정식 보안패치가 아니기 때문에 완전한 해결책은 될 수 없으므로 문제가 발생하는 경우 임시 해결책으로 사용하셔야 합니다.
Update Note. 2012.07.11 : MS12-043 - 긴급패치를 적용하여 본 취약점을 해결하시기 바랍니다.http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043
알약에서는 해당 제로데이 취약점을 이용한 악성코드에 대해 지속적인 모니터링을 실시하고 있으며, KISA와 함께 악성코드를 유포하는 도메인에 대한 지속적인 차단 작업을 실시하고 있습니다.
감사합니다.