상세 컨텐츠

본문 제목

‘Follina’ 제로데이 취약점, 오피스 이전 버전 위험에 빠트려

국내외 보안동향

by 알약4 2022. 5. 31. 09:00

본문

Zero-Day ‘Follina’ Bug Lays Older Microsoft Office Versions Open to Attack

 

공격자가 Microsoft Office에 존재하는 제로데이 취약점을 악용하여 원격 Word 템플릿 기능을 통해 타깃 시스템에서 악성코드를 실행 가능한 것으로 나타났습니다.

 

이는 지난 주말 일본의 보안업체인 Nao Sec이 트위터에 제로데이에 대한 경고를 발행해 알려졌습니다.

 

유명 보안 연구원인 Kevin Beaumont는 해당 제로데이의 코드가 이탈리아 기반의 지역 번호인 Follina – 0438을 참조하기 때문에 취약점을 "Follina"라 명명했다고 밝혔습니다.

 

Beaumont는 이 취약점이 Microsoft Word의 원격 템플릿 기능을 악용하고 있으며, Office 기반 공격에서 흔히 발견되는 일반적인 매크로 기반 익스플로잇 공격을 사용하지 않는다고 밝혔습니다. Nao Sec은 해당 버그의 라이브 샘플은 Word 문서 템플릿과 벨로루시의 인터넷 프로토콜(IP) 주소에 대한 링크에서 발견되었다고 설명했습니다.

 

공격자들이 이 제로데이 취약점을 활발히 악용했는지 여부는 알 수 없습니다.

 

확인되지는 않았지만, PoC 코드가 존재하고 더욱 최신 버전의 Office가 공격에 취약하다는 보고서가 있습니다.

 

한편, 보안 연구원은 사용자가 패치 대신 Microsoft 공격 노출 영역을 감소하는 조치를 취해 이 공격의 위험을 완화시킬 수 있다고 설명했습니다.

 

Follina의 작동 방식

 

Nao Sec의 연구원들은 원격 서버에서 HTML(Hypertext Markup Language) 파일을 통해 익스플로잇을 로드하는 악성 템플릿이 감염 경로에 포함된다고 설명했습니다.

 

 

<이미지 출처 : https://twitter.com/nao_sec/status/1530196847679401984>

 

 

로드된 HTML "ms-msdt" MSProtocol URI 체계를 통해 PowerShell 코드 조각을 로드하고 실행합니다.

 

MSDT(Microsoft Support Diagnostic Tool)는 정보를 수집해 Microsoft의 지원 부서에 이를 전달합니다. 이 문제 해결 마법사는 수집된 정보를 분석하여 사용자의 문제를 해결하려 시도합니다.

 

Beaumont는 이 취약점이 "매크로가 비활성화된 경우에도" MSDT를 통해 코드를 실행할 수 있음을 발견했습니다.

 

"’보호된 보기가 활성화된 경우에도 문서를 RTF 형식으로 변경하면 보호된 보기에서도 물론이고 문서를 열지 않고도(미리 보기 탭을 통해) 실행될 수 있습니다.”

 

Beaumont는 이 익스플로잇이 현재 이전 버전의 Microsoft Office 2013 2016에 영향을 미치고 있다고 설명했습니다. 엔드포인트 탐지 또한 이 악성코드의 실행을 눈치채지 못하고 있다고도 덧붙였습니다.

 

보안 연구원인 Didier Stevens는 완전히 패치된 Office 2021 버전에서 Follina 버그를 악용했다고 밝혔으며, 사이버 보안 연구원인 John Hammond Follina가 작동한다는 것을 보여주는 증거를 트위터를 통해 공개했습니다.

 

E5 라이선스가 있는 Microsoft 사용자는 엔드포인트 쿼리를 Defender에 추가하여 익스플로잇을 탐지할 수 있습니다.

 

Warren ASR(Attack Surface Reduction) 규칙을 통해 사무실 응용 프로그램이 자식 프로세스를 생성하지 못하도록 차단할 것을 제안했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Exploit.MSOffice.Gen’로 탐지 중입니다.

 

 

 

 

출처:

https://threatpost.com/zero-day-follina-bug-lays-older-microsoft-office-versions-open-to-attack/179756/

https://twitter.com/nao_sec/status/1530196847679401984 (IOC)

관련글 더보기

댓글 영역