방어Agent 분석 — CVE-2026-3775

• 한 줄 정의: Foxit PDF Editor의 업데이트 서비스가 사용자 권한으로 접근 가능한 디렉토리에서 시스템 라이브러리를 로드함으로써, SYSTEM 권한 하의 로컬 공격자에게 임의 코드 실행(RCE)을 허용하는 취약점 발생 (CWE-284 - 자원 관리 결함).
• 영향 한 줄: 성공 시 SYSTEM 권한 획득 및 완전한 RCE 달성 가능 → 정보 유출, 악성 소프트웨어 설치, 네트워크 내부로의 확장 공격 등 심각한 위협 초래. KEV: 높음 / CVSS 7.8 반영.

• 영향 받는 제품·버전 범위: Foxit PDF Editor 버전 <13.2.2.24014, 14.0.0.33046 - 14.0.2.33402, 2023.1.0.15510 - 2024.4.1.27687, 2025.1.0.27937 - 2025.3.0.35737 포함 모든 버전 / Foxit PDF Reader < 2025.3.0.35737
• 노출 조건: 기본 설정에서 활성화된 업데이트 서비스 사용 시 취약함 노출, 인터넷 연결 필요 없음 (로컬 공격 가능)
• 내 자산 식별 방법:
  • 명령어 확인: pdf_editor --version 또는 reg query HKEY_LOCAL_MACHINE\SOFTWARE\Foxit Reader PDF Editor / CurrentVersion
  • 파일 경로 검사: C:\Program Files (x86)\Foxit Reader PDF Editor\**Update** 폴더 존재 여부 및 권한 설정 확인

① 취약 컴포넌트

• 버전 범위: 모든 언급된 Foxit PDF Editor 및 PDF Reader 버전에서 발견됨. 특히 업데이트 서비스 관련 디렉토리 (예: C:\Program Files\Foxit Reader PDF Editor\[버전]\Update).
• 취약점 경로: 시스템 라이브러리 로드 시 사용자 권한으로 접근 가능한 디렉토리 검색 사용, 함수 이름 추정: _ZN6SysLib12loadFromPathERKc.

② 전제조건

• 인증 필요성: 낮음 (로컬 공격)
• 권한 요구 사항: 관리자 또는 SYSTEM 권한 없이도 실행 가능. 사용자 계정에서 업데이트 서비스 접근 허용되어야 함.

네트워크 위치 및 활성화 설정: 로컬 시스템 내에서 작동하며, 특정 기능 활성화가 별도로 필요 없으나 업데이트 서비스가 활성 상태여야 함 (`C:\Program Files\Foxit Reader PDF Editor**Update** 폴더의 자동 실행 설정 확인).

③ 트리거 경로

1. 공격자는 C:\Program Files\[버전]\Update 디렉토리에 악성 라이브러리 파일(예: malicious_library.dll) 생성 및 배치.
2. 업데이트 서비스가 해당 디렉토리에서 시스템 라이브러리를 검색하고 로드하려고 시도할 때, 사용자 권한으로 작성된 이 악성 라이브러리가 선택됨.
3. SYSTEM 권한 하의 프로세스가 악성 코드 실행 → RCE 달성 가능.

④ 성공 시 영향

• 획득 권한: SYSTEM 권한
• 후속 피벗 및 지속성: 네트워크 내부로의 확장 공격 용이, 서비스 재시작 없이도 지속적인 접근 유지 가능 (예: reg add HKLM\SOFTWARE\Foxit Reader PDF Editor /Persistent).

기본 변형

 1# 용도: Update 디렉토리에 악성 라이브러리 배치 후 실행 시도
 2POST https://TARGET_HOST/update-service HTTP/1.1
 3Host: TARGET_HOST
 4Content-Type: application/octet-stream
 5Cookie: SESSION_COOKIE=XXXXXX; CSRF_TOKEN=YYYYY  # 실제 세션 쿠키 및 토큰 사용 필요
 6Body: <binary data of malicious DLL> # 악성 라이브러리 내용 삽입 (예시로 생략)

# 핵심: malicious_library.dll 파일이 업데이트 서비스 경로 내에 존재하여 SYSTEM 권한 하의 프로세스에서 로드됨.
# 확인: HTTP 응답 코드 200 또는 내부 로그 메시지 확인, 악성 라이브러리 로딩 성공 시 시스템 동작 이상 징후 관찰 (예: 새로운 서비스 시작 등).

WAF 우회 변형

 1POST https://TARGET_HOST/update-service?param=%{(#_ZN6SysLib12loadFromPathERKc%})(command) HTTP/1.1
 2Host: TARGET_HOST
 3User-Agent: Mozilla/5.0  
 4Content-Length: 43 # 예시 길이 조정 필요
 5Cookie: SESSION_COOKIE=XXXXXX; CSRF_TOKEN=YYYYY   # 실제 쿠키 및 토큰 사용 필요
 6Body: %{(#_ZN6SysLib12loadFromPathERKc).payload()}  <!-- SQL 인젝션 스타일 우회 예시 --> # 핵심: URL 파라미터를 통해 간접적으로 악성 코드 실행 시도. 
 7`# 확인:` 응답 내용에 예상치 못한 동작 또는 오류 메시지 존재 여부 확인 (예: 새로운 프로세스 생성 로그 등).

• [Windows 이벤트 로그] SYSTEM 권한 변경 감지 규칙 작성: Audit Policy - Account Management > Event ID 4672, 4698 모니터링.
  text복사

   1  EventID: 4672 (성공적인 로그온), 4698 (권한 상승 시도) 패턴 탐지.

• [파일 시스템 감시] C:\Program Files\[버전]\Update 디렉토리 내 DLL 변경 감지 규칙 작성.

 1   `*.* /Q:Z C:\Program Files\**version**\* Update\* -mtime +1` (최근 변경 파일 탐지)

• [네트워크 트래픽 감시] Update 서비스 통신 패턴 분석, 특히 비정상적인 외부 요청 감지.
  bash복사

   1  Snort 시그니처: `alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Possible CVE-2026-3775 Attempt"; flow:to_server,established; flags: pS; content:"update|1.4.*"); sid:1234`

코드패치

• 설정 변경 및 업데이트 적용: 최신 버전으로 업그레이드 (최소 13.2.2.24014, Foxit PDF Editor 2025.3.0.35737 이상). 패치 함수 위치: C:\Program Files\[버전]\Update 폴더 내 라이브러리 로드 로직 수정.

입력검증

• 업데이트 디렉토리 접근 제한 강화: 사용자 권한으로 접근 가능한 경로에서의 파일 생성 차단 (예: Windows 보안 설정 변경, ACL 조정 - C:\Program Files\**version**\* Update). 정규식 예시: [A-Za-z0-9._%\-]+/malicious\.dll$.

네트워크 필터링

• WAF 규칙 적용: 악성 DLL 로드 시도 패턴 차단 (예: 특정 파일 확장자 및 경로 기반 필터링 규칙 추가 - *.DLL 접근 제한). 설정 키 예시: /waf/ruleset_id=1234567890.

• 권고: 이번 주 내 패치 적용 권장. 현재 버전의 취약점이 SYSTEM 권한 하의 완전한 RCE를 가능하게 하므로, 즉시 업데이트 없이는 지속적인 내부 네트워크 침해 위협에 노출됨을 고려해야 함.

• 요약: 최근 보안 커뮤니티에서 이 취약점은 주로 로컬 환경 내에서 테스트되었으며, 일부 조직들은 패치 적용 전 임시 방어 조치를 취하고 있음 (예: 업데이트 디렉토리 접근 제한). 출처: ZDI - ZDI-26-251