안랩(대표 김홍선)은 마이크로소프트(Microsoft)의 XML 코어 서비스 취약점(CVE-2012-1889)을 악용이 계속되고 있다고 밝혔다. 코드를 변형한 XML 코어 서비스 취약점 악용이 지속돼 취약한 웹 사이트를 중심으로 유포가 진행되고 있어 특별한 주의가 요청된다는 것이다.
현재까지도 보안 패치가 제공되지 않고 있는 제로데이 취약점인 XML 코어 서비스 취약점을 악용하는 공격은 특히 지난 주말인 6월 30일과 7월 1일 이틀 사이 국내 취약한 웹 사이트 다수를 대상으로 유포되고 있다는 것이 안랩의 설명이다. 주말 사이 발견된 해당 XML 코어 서비스 취약점을 악용하는 스크립트 악성코드는 기존 발견된 스크립트 악성코드와는 다르게 난독화 수준을 높여 보안 솔루션의 탐지를 회피하는 특징이 있다.
안랩은 또한 해당 취약점을 악용하는 스크립트 악성코드가 최소 36개 이상의 온라인 게임 정보를 탈취하기 위한 악성코드 변형을 유포하기 위해 제작됐으며, 스크립트 악성코드와 온라인 게임 정보 탈취 악성코드를 제작/유포하는 공격자들은 이들 악성코드가 정상적으로 유포 중인지 확인하고 있다고 전했다. 악성코드 제작자는 악성코드 유포를 위해 해킹한 시스템의 도메인 주소들을 입력하고, 검색해 파일이 정상적으로 존재하고, 유포 가능한지 확인하고 있다는 것이다. 이는 실시간으로 유포 중인 악성코드들의 상태를 확인하고, 하나의 유포 경로가 차단됐을 경우 다른 유포지를 가동시키고 있음을 추정하게 한다.
아랩은 “현재 XML 코어 서비스는 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이 취약점”이라며 “사용하는 보안 제품을 최신 엔진으로 업데이트하고, 마이크로소프트에서 임시 방안으로 제공 중인 픽스 잇(Fix It) 설치가 해당 취약점을 악용하는 악성코드 감염을 예방하는 방안”이라고 조언했다.
