MS12-060(CVE-2012-1856) 취약점 악용한 타깃 공격 발견!

MS에서 제공하는 보안 패치 MS12-060 설치해야

[보안뉴스 김태형] 마이크로소프트에서는 8월 15일 7월 한 달간 발견된 해당 업체에서 개발한 보안 취약점들을 제거하는 보안 패치를 배포했다.

이번 8월에 배포된 보안 패치 중에는 ‘MS12-060 - Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2720573)’가 포함되어 있으며 마이크로소프트에서 개발한 오피스 제품과 관련된 취약점이다.

해당 취약점에 대해 마이크로소프트는 별도의 블로그 ‘MS12-060: Addressing a vulnerability in MSCOMCTL.OCX's TabStrip control’를 통해 해당 MS12-060 보안 패치가 제거하는 보안 취약점 CVE-2012-1856을 악용한 타깃 공격(Targeted Attack)이 발견되었음도 같이 공개했다.

안랩 시큐리티대응센터(이하 ASEC)에서는 이와 관련해 추가적인 정보들을 수집하는 과정에서 해당 타깃공격에 실제 악용된 것으로 알려진 악성코드를 확보했다고 밝혔다.

CVE-2012-1856 취약점을 악용한 타깃 공격은 이메일의 첨부 파일로 아래 이미지와 동일한 RTF(Rich Text Format)이 첨부되어 유포된 것으로 알려져 있다.

해당 CVE-2012-1856 취약점은 RTF 파일 내부에 포함되어 있는 엑티브엑스(ActiveX) 오브젝트에 의해 엑티브엑스 오프젝트 처리와 관련되어 있는 MSCOMCTL.OCX 파일의 메모리 엑세스 오류(Memory Access Error)가 발생하게 되며 이로 인해 임의의 코드 실행이 가능해지는 취약점이다.

이번에 발견된 CVE-2012-1856 취약점을 악용하는 RTF 파일은 V3 제품군에서는 다음과 같이 진단한다.

Dropper/CVE-2012-1856

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/DOC.AccessViolation-DE

ASEC는 “현재까지도 해당 타깃 공격과 관련된 공격 기법에 대해 자세한 정보들은 공개되지 않은 상황이나, 실제 공격에 악용된 사례가 발견된 만큼 마이크로소프트에서 제공하는 보안 패치 MS12-060을 설치하여 다른 보안 위협에서 해당 취약점을 악용할 경우를 대비하는 것이 중요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)