최근의 제로데이 익스플로잇

표준 시스템은
제로데이 위협을 방어할 능력이 없습니다

제로데이 공격은 알려지지 않았고 패치를 제공하거나 수정할 수 없는 소프트웨어 결함에 대한 사이버 공격입니다. FireEye는 2013년에 11건의 제로데이 공격을 발견했으며, 이것은 상위 10개의 보안회사가 발견한 제로데이 공격을 모두 합친 것보다도 더 많습니다.

제로데이 공격을 탐지하기는 매우 어렵고, 특히 기존의 방어 시스템을 사용하는 경우에는 더욱 어렵습니다. 기존의 보안 시스템은 악성코드 시그니처와 URL 평판에 중점을 둡니다. 그러나, 제로데이 공격에 대한 이러한 정보는 제로데이라는 뜻 그대로 알려져 있지 않습니다. 사이버 공격자들은 기술이 뛰어나고, 그들이 작성한 악성코드는 몇 개월 또는 몇 년 동안 탐지되지 않으므로, 복구할 수 없는 피해를 입힐 시간이 많습니다.

최근에 발견된 종류의 제로데이 공격을 검토한 결과, 운영 체제 수준의 방어는 효과가 감소하고 있고, 워터링 홀 공격은 더 자주 발생하고 있으며, 사이버 공격은 더 정교해져서 조직의 방어 시스템을 더 쉽게 우회하고 있다는 것이 명백해졌습니다.

 

 

최근의 제로데이 공격과 취약점

2014년 제로데이 익스플로잇

FireEye는 2014년에 5건의 제로데이 익스플로잇을 발견했습니다.

  • 인터넷 익스플로러 워터링 홀 익스플로잇 악성 웹사이트를 방문하는 IE 10 사용자들을 표적으로 삼은 취약점.
  • 인터넷 익스플로러 9-11 익스플로잇 IE 6-IE 11 사용자들에게 영향을 미쳤으나, 특히 IE 9-IE 11 사용자들에게 영향을 미쳤고, 표준 사이버 방어 시스템을 우회하고 임의적인 메모리 접속을 허용한 취약점. 더 상세한 내용은 다음의 정보를 참조하십시오:
  • CVE-2014-4148 윈도우즈 커널, 특히 마이크로소프트 윈도우즈 트루 타입 폰트(TTF) 처리 서브시스템을 악용하고, 마이크로소프트 오피스 문서를 사용하여 악성 TTF를 내장하고 국제 기구로 전달한 취약점.
  • CVE-2014-4113 마이크로소프트 윈도우즈 7, 비스타, XP, 윈도우즈 2000, 윈도우즈 서버 2003/R2, 윈도우즈 서버 2008/R2를 로컬 권한 상승(EoP) 공격에 취약한 상태로 만든 또 하나의 윈도우즈 커널 취약점.
  • CVE-2014-0502 플래시 플레이어의 최신 버전(12.0.0.4 및 11.7.700.261)에 영향을 미친 제로데이 어도비 플래시 익스플로잇.

2014년 제로데이 익스플로잇

FireEye는 2013년에 발견된 13건의 제로데이 익스플로잇 중 11건을 찾았습니다.

  • CVE-2012-4792 외교 협회(Council on Foreign Relations) 웹사이트에 잠복한 이 악성 자바스크립트 코드는 IE 사용자들을 표적으로 삼았습니다
  • CVE-2013-0422 윈도우즈 기반의 사용자들을 그들의 컴퓨터에서 잠귀어져 사용하지 못하도록 설계된 자바 7 기반의 취약점
  • CVE-2013-0634 윈도우즈, 맥(Mac), 리눅스, 안드로이드 시스템에서 어도비 플래시 사용자들을 공격하도록 설계된 악성 액션스크립트 코드
  • CVE-2013-0640 / CVE-2013-0641 원격 관리 툴을 설치하여 ASLR 및 DEP 보안을 우회하도록 설계된 한 쌍의 자바스크립트 기반 PDF 취약점
  • CVE-2013-1493 공격자들이 핫스팟 가상 머신을 침해하여 표적 시스템을 제어하는 것을 허용하는 자바 런타임 환경 취약점
  • CVE-2013-1347 이 IE 버전 6-8의 취약점은 미국 노동부 웹사이트를 방문한 윈도우즈 XP 사용자들을 표적으로 삼았습니다
  • CVE-2013-3893 여러 악성코드 캠페인에서 사용된 이 IE 취약점은 다수의 악성 웹사이트를 방문한 사용자들을 표적으로 삼았습니다
  • CVE-2013-3918 / CVE-2014-0266 오래된 서비스 팩 2까지 포함하는 윈도우즈 사용자들에게 영향을 미친 광범위하고 교묘하게 조작된 한 쌍의 ActiveX 취약점
  • CVE-2013-5065 다른 취약점들과 결합된 이 윈도우즈 XP와 윈도우즈 서버 2003 취약점은 표준 사용자 계정이 커널에 들어 있는 악성코드를 원격으로 실행하는 것을 허용했습니다