윈도우 사용자는 MS 워드 문서로 유포되는 인터넷 익스플로러(IE) 취약점을 반드시 패치해야 한다. 제로데이 취약점 CVE-2018-8174은 카스퍼스키랩이 발견해 MS에 통보하고, 지난 8일 패치가 발표됐다.
익스플로잇이란 한 소프트웨어 내의 버그나 취약점을 악용해 악성 코드를 통해 피해자를 감염시키는 소프트웨어의 일종이다. 익스플로잇은 돈을 노리는 단순 사이버 범죄자와 국가 지원을 받아 악의적인 목적으로 공격을 수행하는 정교한 해킹 집단 모두가 널리 사용하는 도구이다.
이번 사건의 경우 발견된 익스플로잇은 전형적인 제로데이 취약점을 악용하는 악성 코드를 기반으로 하고 있었다. 이 취약점은 UAF(Use-After-Free) 버그로, 정상적인 실행 코드가 잘못된 메모리 처리 로직을 사용할 때 발생하며, 해제된 메모리와의 코드 통신으로 이어질 수 있다. 대부부의 경우 단순한 브라우저 오류로 끝나지만 익스플로잇에서 악용되면 공격자가 이 버그를 통해 시스템의 제어 기능을 장악할 수도 있다.
취약점은 피해자가 악성 RTF MS 오피스 문서를 수신하고, 이를 열면 악성 코드를 포함한 HTML 페이지가 다운로드되며 익스플로잇의 두 번째 단계가 실행된다. 코드가 메모리 손상 UAF 버그를 실행하고, 악성 페이로드를 다운로드하는 셸코드가 실행된다.
이창훈 카스퍼스키랩코리아 지사장은 “버그가 수정되기 전까지 범죄자들은 이 기법을 사용하여 주로 사용하는 브라우저 종류에 관계없이 IE가 강제로 페이로드를 다운로드하도록 만들어 공격을 늘릴 수 있었다. 머지않아 이 취약점에 대한 익스플로잇이 유행할 것으로 보이며 정교한 해킹 조직뿐 아니라 일반적인 사이버 범죄자들도 많이 이용할 것으로 예상된다”고 말했다.
