2017년 9월 28일, 360은 MS Office 제로데이 취약점(CVE-2017-11826)을 발견하였습니다.
해당 취약점은 모든 office 버전이 영향을 받으며, in the wild attack은 특정 office 버전이 영향을 받습니다.
공격자는 rtf문서 중 악성 docx내용을 삽입하는 형식으로 공격을 진행합니다.
샘플의 C&C를 역추적해본 결과, 공격자는 8월 중순부터 공격을 준비하였으며, 9월 말 공격을 개시하였습니다. 해당 취약점은 공격시점에 아직 패치가 나오지 않은 제로데이 상태였습니다.
360보안연구원들은 MS에 가장 처음으로 해당 취약점에 대한 내용을 공유하였습니다.
공격내용
이번 제로데이 취약점은 실제 RTF(Rich Text Format)를 사용하며, 공격자는 정교히 조작된 악성 워드파일태그와 대응하는 속성값을 통하여 원격코드실행을 하며, payload의 주요 과정은 다음과 같다. 여기저 주목해야할 점은 이 페이로드가 실행하는 악성코드가 유명 백신프로그램의 dll 하이재킹 취약점을 악용한다는 것입니다. 공격자는 결국, 사용자 PC에 민감 데이터를 탈취하는 기능을 갖고있는 원격코드실행 악성코드 설치에 성공하는 것입니다.
<이미지 출처 : https://blog.360totalsecurity.com/en/new-office-0day-cve-2017-11826/>
패치방안
윈도우 보안 업데이트 진행 (▶ 참고)
출처 :
https://blog.360totalsecurity.com/en/new-office-0day-cve-2017-11826/
심각한 암호화 결점으로 인해 해커들이 수십억 대 기기에 사용 된 개인 RSA키 복구 가능해져 (0) | 2017.10.18 |
---|---|
안드로이드 기기를 암호화 시킬 뿐만 아니라 비밀 번호까지 변경해버리는 새로운 랜섬웨어 발견 (0) | 2017.10.16 |
중국 코인 거래소 OK Coin의 파생 거래소 OKEx , 해커 공격을 받아 304만 달러 상당의 비트코인 탈취 (0) | 2017.10.12 |
마이크로소프트의 ‘패치 화요일’ 10월 패치, DNSSEC 관련 치명적인 윈도우 DNS 클라이언트 제로데이 결점 수정해 (0) | 2017.10.11 |
구글, 폭넓게 사용 되는 Dnsmasq 네트워크 소프트웨어에서 보안 취약점 7개 발견 (0) | 2017.10.10 |
댓글 영역