[긴급] MS 오피스, 제로데이 취약점 Follina 발견

2022-05-31 13:33
  • 카카오톡
  • 네이버 블로그
  • url
마이크로소프트 오피스, 문서열람만 해도 악성코드 실행되는 제로데이 취약점 발견
공식 보안패치가 나오기 전까지 msdt 사용 여부 확인해 실행 차단해야


[보안뉴스 기획취재팀] 최근 마이크로소프트 오피스(Microsoft Office)에서 제로데이 취약점인 ‘Follina’가 발견됐다. 특히, 이번 취약점은 사용자가 문서를 열람하기만 해도 악성코드가 실행될 수 있어 PC 사용자들의 주의가 필요하다.


▲document.xml.rels내의 원격 템클릿 주소지정 코드 화면[이미지=보안뉴스]

영남이공대학교(총장 이재용) 사이버보안연구센터는 “해당 취약점은 지난 5월 29일, 보안연구원 Nao_Sec이 바이러스토탈(Virustotal)에 등록된 악성 워드문서 ‘05-2022-0438.doc’를 분석하는 과정에서 발견됐다”며 “현재 영향을 받는 제품과 버전이 명확히 밝혀지지 않았으나, Microsoft Office Word 2013, 2016, 2019, 2021등 다양한 버전의 최신 패치 환경에서 모두 실행되는 제로데이 취약점으로 파악되고 있다”고 밝혔다.

이 취약점은 마이크로소프트 지원 진단 마법사 msdt에서 발생하며, 마이크로소프트 오피스의 원격 템플릿 기능을 활용해 사용자가 문서를 열람할 때 공격자의 서버에 있는 html을 다운로드하고 파워쉘(Powershell) 등 악의적인 명령을 실행할 수 있다.


▲공격자 서버에서 다운로드 되는 html코드 화면[이미지=보안뉴스]

실제로 공개된 공격 코드를 보면 오피스 문서 내에 외부 html 파일을 다운로드 하는 구문을 확인할 수 있다. 문서 열람과 동시에 공격자 서버에서 html 파일이 다운로드 되며, 내장된 악의적인 파워쉘 명령어가 실행된다.


▲ms-msdt를 통해 calc.exe를 실행 화면[이미지=보안뉴스]

현재 해당 취약점을 차단하기 위한 보안패치가 제공되지 않아 공식적인 대응방안은 없는 상태이나, ‘HKCR\ms-msdt’ 레지스트리를 제거할 경우 취약점을 임시로 예방할 수 있다.


▲HKCR\ms-msdt 레지스트리 제거 화면[이미지=보안뉴스]

또한, 취약점이 실행될 경우 msdt.exe가 winword 등 오피스 프로그램을 통해 실행되는 등의 특성을 보이므로 EDR 등을 운영할 경우 탐지를 시도할 수 있다.


▲취약점 실행 시 winword에서 실행되는 msdt.exe 확인 화면[이미지=보안뉴스]

취약점을 분석한 영남이공대 사이버보안연구센터 김수현, 손우탁 연구원은 “공격자가 최근에는 오피스 취약점이 많이 나오지 않자, 매크로를 기반으로 한 공격을 주로 사용했다”면서 “사용자가 클릭해야 실행되는 매크로 악성코드와 달리 이 취약점은 사용자가 문서를 열람하기만 해도 악성코드가 실행되기 때문에 공격자가 적극적으로 활용할 수 있어 각별한 주의가 필요하다”고 밝혔다.

이와 관련 리니어리티 한승연 대표는 “이 취약점에 대한 POC 코드가 공개되어 있고 구현도 쉬워 당장 오늘부터 공격에 악용돼도 이상하지 않기 때문에 각별한 주의가 필요하다”면서, “공식 보안패치가 나오기 전까지 msdt의 사용 여부를 확인해 실행을 차단하거나 EDR의 탐지 정책을 검토하는 등 취약점 실행을 탐지, 차단할 수 있는 정책을 수행해야 한다”고 밝혔다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기