2009년 6월 11일을 즈음하여 중국 웹 사이트에서 윈도우 커널 취약점이 발견되었다며 PoC로 제작된 파일이 발견되었다.
현재까지 ASEC에서 분석한 PoC로 제작된 파일은 대략적으로 다음과 같이 동작한다.
1. Csrss.exe의 메모리영역 접근을 위해 Debug 권한으로 OpenProcess를 진행한다.
2. Csrss.exe의 새로운 메모리를 영역을 이용하여 Win32k.sys에 서비스 호출을 한다.
3. 해당 서비스호출에 의해서 Win32k.sys의 win32k!NtUserConsoleControl 에서 0x804D800C 메모리 4바이트를 NULL로 채운다.
현재 해당 윈도우 커널 취약점에 대해 마이크로소프트에서는 자세한 조사가 진행 중에 있다고 한다.
'악성코드 정보' 카테고리의 다른 글
| 마이크로소프트의 다이렉트쇼 취약점 악용 사례 (0) | 2011.10.21 |
|---|---|
| phpMyAdmin의 임의의 PHP 코드 실행 취약점 (0) | 2011.10.21 |
| ASEC (AhnLab Security Emergency response Center) 이란? (0) | 2011.10.21 |
| Smiscer Rootkit (Smiscer is also known as the ZeroAccess or Max++ rootkit.) (0) | 2011.10.17 |
| ASEC 보안 위협 동향 리포트 2011 Vol.21 발간 (0) | 2011.10.16 |
댓글