2022-01-20 16:30 (목)
MS Office 제로데이 취약점 사용한 공격 정황 확인돼
상태바
MS Office 제로데이 취약점 사용한 공격 정황 확인돼
  • 길민권 기자
  • 승인 2017.10.13 14:54
이 기사를 공유합니다

공격자, rtf문서 중 악성 docx내용을 삽입하는 형식으로 공격을 진행

지난 9월 28일, 중국 보안기업 치후360은 MS Office 제로데이 취약점(CVE-2017-11826)을 발견했다고 밝혔다.

이번 취약점은 모든 오피스(office) 버전이 영향을 받으며, in the wild attack은 특정 office 버전이 영향을 받는다.

공격자는 rtf문서 중 악성 docx내용을 삽입하는 형식으로 공격을 진행할 수 있다.

샘플의 C&C를 역추적해본 결과, 공격자는 8월 중순부터 공격을 준비했으며, 9월 말 공격을 개시한 것으로 조사됐다. 해당 취약점은 공격시점에 아직 패치가 나오지 않은 제로데이 상태였다.

360보안연구원들은 MS에 가장 처음으로 해당 취약점에 대한 내용을 공유했다.

이번 제로데이 취약점은 실제 RTF(Rich Text Format)를 사용하며 공격자는 정교하게 조작된 악성 워드파일태그와 대응하는 속성값을 통해 원격코드 실행을 하며 payload의 주요 과정은 아래와 같다.

▲ 출처. 이스트시큐리티 블로그
▲ 출처. 이스트시큐리티 블로그
여기서 주목해야 할 점은 이 페이로드가 실행하는 악성코드가 유명 백신프로그램의 dll 하이재킹 취약점을 악용한다는 점이다.

공격자는 결국, 사용자 PC에 민감 데이터를 탈취하는 기능을 갖고 있는 원격코드 실행 악성코드 설치에 성공하는 것이다. MS 오피스 사용자는 최신 버전으로 업데이트해야 안전할 수 있다. (정보출처. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★