Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-8759] MS .NET Framework RCE(변형)
작성일 2017-12-01 조회 1885

개요

이전에 0-day 공격으로 이슈가 되었던 CVE-2017-8759 취약점과 관련된 내용이다. 해당 취약점은 PrintClientProxy 함수 내에 있는 SOAL WSDL 파서 모듈에서 발생하는 것으로, 이 취약점을 통해 악의적인 행위자가 SOAP WSDL 정의 내용을 파싱하는 동안 임의의 코드를 삽입 할 수 있다.

 

[CVE 정보]

CVE-2017-8759

 

[취약한 버전]

Microsoft .NET Framework:4.7

Microsoft .NET Framework:4.6.2

Microsoft .NET Framework:4.6.1

Microsoft .NET Framework:4.6

Microsoft .NET Framework:4.5.2

Microsoft .NET Framework:3.5.1

Microsoft .NET Framework:3.5

Microsoft .NET Framework:2.0:sp2

 

[취약한 함수]

PrintClientProxy()

 

 

확인 내역

 

취약점 상세 설명은 이전 블로그 내용을 참고하기 바란다. 

 

최근 샘플 모니터링 하는 중에, 이전에 발견한 취약점 형태에서 약간 변형된 형태가 발견되었다.
다음은 변형 된 샘플의 내용이다.

[그림1] 변형된 XML-1

 

[그림2] 변형된 XML-2


다운로드 받은 SOAP XML 파일은 주석이 포함된 캐리지 리턴(CRLF)가 포함되어 있는 형태이다.

 

위 [그림1]에서 살펴본 Base64로 인코딩 된 부분을 디코딩 하게 되면 아래와 같은 파워쉘 스크립트가 존재하며,
위 취약점을 통해 해당 스크립트가 실행되게 된다.

[그림3] 파워쉘 스크립트


 

대응방안

1. MS 9월 보안 업데이트

MS보안 권고

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759

 

2. Sniper 제품군 대응 방안

아래 패턴으로 대응이 가능합니다.

IPS 제품

[패턴 블럭][3881] MS .NET Framework RCE.A

UTM 제품

[805374323] MS .NET Framework RCE.A

APTX 제품

[3087] MS .NET Framework RCE.A

 

 

참고

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759

https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html

https://github.com/vysec/CVE-2017-8759

http://www.freebuf.com/articles/system/147602.html

첨부파일 첨부파일이 없습니다.
태그   .NET