포스팅 내용

국내외 보안동향

MS Office 제로데이 취약점(CVE-2017-11826) 발견!

2017년 9월 28일, 360은 MS Office 제로데이 취약점(CVE-2017-11826)을 발견하였습니다.


해당 취약점은 모든 office 버전이 영향을 받으며, in the wild attack은 특정 office 버전이 영향을 받습니다. 


공격자는 rtf문서 중 악성 docx내용을 삽입하는 형식으로 공격을 진행합니다. 


샘플의 C&C를 역추적해본 결과, 공격자는 8월 중순부터 공격을 준비하였으며, 9월 말 공격을 개시하였습니다. 해당 취약점은 공격시점에 아직 패치가 나오지 않은 제로데이 상태였습니다. 


360보안연구원들은 MS에 가장 처음으로 해당 취약점에 대한 내용을 공유하였습니다. 


공격내용


이번 제로데이 취약점은 실제 RTF(Rich Text Format)를 사용하며, 공격자는 정교히 조작된 악성 워드파일태그와 대응하는 속성값을 통하여 원격코드실행을 하며, payload의 주요 과정은 다음과 같다. 여기저 주목해야할 점은 이 페이로드가 실행하는 악성코드가 유명 백신프로그램의 dll 하이재킹 취약점을 악용한다는 것입니다. 공격자는 결국, 사용자 PC에 민감 데이터를 탈취하는 기능을 갖고있는 원격코드실행 악성코드 설치에 성공하는 것입니다. 



<이미지 출처 : https://blog.360totalsecurity.com/en/new-office-0day-cve-2017-11826/>



패치방안


윈도우 보안 업데이트 진행  (참고)






출처 : 

https://blog.360totalsecurity.com/en/new-office-0day-cve-2017-11826/

저작자 표시
신고
티스토리 방명록 작성
name password homepage