오피스 문서 파일에 사용된 플래시 익스플로잇 분석 (CVE-2018-4878)

 뉴딜코리아 홈페이지 

최근 사이버 공격에 사용된 플래시 익스플로잇 분석

 (CVE-2018-4878)

○ 오피스 문서 파일

○ 엑셀에 삽입한 악성 플래시 파일

○ 주요 유포 경로 : 이메일, 메신저, SNS 등

○익스플로잇 분석 :
  . 흐름도, 로더, 디컴파일, 디코드 함수 (Decript?), 플래시 파일
  . 취약점 원인 (Use After Free)
  . Force Garbage Collect
  . DRMOperationCompleteListener Class Object 재할당
  . Make Dangling Pointer (drm_obj2)
  . Overlap ByteArray Class Object
  . ByteArray
  . Overlapped Object Memory
  . Object Life Cycle
  . Make Fake m_buffer Object
  . Full r/w memory primitive
  . Bypass ByteArray security cookie mitigation
  . Find window function address
  . How to call shellcode
  . How to call shellcode (HackingTeam 플래시 익스플로잇 방식 이용(Back to the 2015년))
  . How to call shellcode (Function Object의 apply 호출 주소 변조)

○ 주요벤더 대응 :
  . Adobe : 과거 플래시 취약점 악용이 증가할 당시 수동에서 자동 업데이트로 정책 변경
  . Microsoft : 제한된 보기 (Protected View)
  . 브라우저 벤더 : 플래시 로딩 알림창

○ 참고 :
  . 2020년 말에 Flash 지원 중단 발표 (Flash Player "End of life" 2020)
  . 멀티미디어 기술변화 : 플래시 → HTML5

☞ 상세 내용은 첨부파일을 참고 하세요 ..!

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com)