패치된 치명적인 MSHTML 취약점, 새로운 익스플로잇으로 우회 가능해

New Exploit Lets Malware Attackers Bypass Patch for Critical Microsoft MSHTML Flaw

 

한 단기 피싱 캠페인이 마이크로소프트에서 공개한 MSHTML 컴포넌트의 원격 코드 실행 취약점에 대한 패치를 우회하는 새로운 익스플로잇을 사용하는 것으로 나타났습니다. 이들의 목적은 Formbook 악성코드를 배포하는 것이었습니다.

 

SophosLabs 연구원인 Andrew Brandt와 Stephen Ormandy는 지난 화요일 공개된 보고서를 통해 아래와 같이 밝혔습니다.

 

"첨부 파일은 CVE-2021-40444 취약점 악용이 더욱 확대되고 있음을 나타내며, 패치를 진행했음에도 동기가 있는 숙련된 공격자의 공격을 항상 막을 수는 없음을 보여줍니다.”

 

CVE-2021-40444(CVSS 점수 8.8) 취약점은 특수하게 조작된 마이크로소프트 오피스 문서를 통해 악용 가능한 MSHTML의 원격 코드 실행 취약점입니다.

 

마이크로소프트는 2021년 9월 ‘패치 화요일’ 업데이트의 일부로 이 보안 취약점을 해결했지만 취약점과 관련된 세부 정보가 공개된 이후 여러 공격에 사용되었습니다.

 

같은 달 마이크로소프트는 해당 취약점을 악용하여 감염된 윈도우 시스템에 Cobalt Strike 비컨을 배포하는 타깃형 피싱 캠페인을 발견했습니다. 이후 11월에는 SafeBreach Labs에서 민감 정보를 수집하도록 설계된 새로운 PowerShell 기반 인포 스틸러를 사용하여 페르시아어를 사용하는 피해자를 노리는 이란 공격자에 대한 자세한 정보를 공개했습니다.

 

이번에 Sophos가 발견한 새로운 캠페인은 공개적으로 사용 가능한 PoC 오피스 익스플로잇을 변형해 무기화하여 Formbook 악성코드를 배포하여 패치의 보호를 우회하는 것을 목표로 합니다. 보안 회사는 이 공격이 성공한 이유에 대해 "너무 범위가 좁은 집중된 패치" 때문이라 밝혔습니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/12/21/attackers-test-cab-less-40444-exploit-in-a-dry-run/>

 

 

"CVE-2021-40444 익스플로잇의 초기 버전에서 이 악성 오피스 문서는 마이크로소프트 캐비닛(또는 .CAB) 파일에 패키징된 악성코드 페이로드를 검색합니다."

 

"마이크로소프트의 패치를 통해 해당 취약점을 완화하자 공격자는 특수하게 조작된 RAR 압축파일에 악성 문서를 숨김으로써 다른 공격 체인을 완전히 사용할 수 있다는 것을 발견했습니다."

 

수정된 익스플로잇인 CAB-less 40444는 10월 24일부터 25일까지 총 36시간 동안 지속되었으며, 해당 기간 동안 악성 RAR 압축 파일이 포함된 스팸 이메일이 잠재적 피해자에게 전송되었습니다. RAR 파일에는 WSH(Windows Script Host)로 작성된 스크립트와 오픈할 경우 악성 JavaScript를 호스팅하는 원격 서버에 접속하는 워드 문서가 포함되어 있습니다.

 

결과적으로, 이 JavaScript 코드는 워드파일을 WSH 스크립트를 실행하고 RAR 파일에 포함된 PowerShell 명령을 실행하여 공격자가 제어하는 ​​웹 사이트에서 Formbook 악성 코드 페이로드를 검색하는 통로로 활용했습니다.

 

이 익스플로잇이 하루 만에 사라진 이유는 수정된 RAR 압축 파일이 이전 버전의 WinRAR 유틸리티에서 작동하지 않기 때문입니다. 연구원들은 이에 대해 "의도치 않게 이 경우에는 오래된 구 버전을 사용하는 WinRAR 사용자가 최신 버전 사용자보다 이 공격을 더 잘 막을 수 있었을 것”이라 설명했습니다.”

 

SophosLabs 수석 연구원인 Andrew Brandt는 아래와 같이 밝혔습니다.

 

"이 연구는 패치를 진행하는 것 만으로 모든 취약점에 대한 공격을 막을 수 없음을 상기시켜줍니다."

 

"사용자가 실수로 악성 문서를 실행하지 못하도록 제한을 설정할 경우 도움이 되지만, 공격자는 여전히 사용자가 ​​'콘텐츠 사용' 버튼을 클릭하도록 유도할 수 있습니다.”

 

"따라서 직원을 교육하고 모르는 사람이나 회사 내에서 받은 비정상적이거나 익숙하지 않은 압축 파일 형식이 첨부된 이메일 문서를 의심하도록 상기시키는 것이 중요합니다."

 

 

 

 

출처:

https://thehackernews.com/2021/12/new-exploit-lets-malware-attackers.html

https://news.sophos.com/en-us/2021/12/21/attackers-test-cab-less-40444-exploit-in-a-dry-run/