MS Office 수식편집기 취약점 악용한 해킹 주의

CVE-2017-11882 원격 코드 실행

6.8일 마이크로소프트는 이 취약점을 이용한 악성코드( .rtf 문서)를 퍼뜨리는 피싱(phishing) 작전에 대해 경고했다. 이 취약점은 2017.11.14일 패치됐지만, 여전히 많은 악용이 시도되고 있다.

이 취약점은 마이크로소프트 오피스가 메모리에 로드된 개체(object)를 제대로 처리하지 못해서 생겼다. 악용(exploit)에 성공할 경우, 해커는 임의의 코드를 실행할 수 있다. 피해자가 관리자 권한으로 로그인된 경우에는, 시스템의 완전한 장악으로 이어진다.

구체적으로는 MS Office의 구성 요소인 수식 편집기(Equation editor)에 있는 버퍼 오버플로우 취약점이다. 수식 편집기는 2000년부터 별다른 업데이트 없이 지금까지 오피스 패키지에 포함되고 있다. 수식 편집기의 작동 방식 때문에, DEP, ASLR 같은 Windows의 방어 장치, 오피스 방어에 특화된 EMET, Windows Defender Exploit Guard 같은 방어 장치가 적용되지 않는다.

악성 문서 열기만 하면 감염

특별하게 가공된 오피스 문서를 열기만 하면 감염된다. 사용자의 별다른 상호작용이 필요치 않다. 이 취약점 악용에는 rtf 파일 형식이 많이 사용된다. 따라서 윈도우에 기본 포함된 워드패드를 통해서도 악용될 수 있다.

패치 당시, MS는 실제 악용 가능성은 크지 않은 것으로 봤다. 그러나 이후 많은 악성코드 유포에 동원됐다. 패치 이후에도 악용 시도가 많다는 점과 rtf 문서가 자주 이용된다는 점에서는 CVE-2017-0199와 비슷한 면이 있다(관1). 그러나 위험도 면에서 0199는 치명적(critical)이고, 11882는 중요(important)로 차이가 있다.

미심쩍은 파일을 열 때는 PC의 앱에서 직접 여는 것보다, 웹 브라우저에서 구동되는 웹 오피스를 이용해 여는 것이 좋다고 생각한다(관1).


관련 자료
  1. 오래된 MS Word의 RTF 취약점, 여전히 위협적

참고 자료
  1. Microsoft Issues Warning on Spam Campaign Using Office Exploits
  2. CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  3. Analysis of CVE-2017-11882 Exploit in the Wild 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다