2017.04.11

MS워드에서 패치되지 않은 취약점 악용하는 '이메일 기반 공격'

Lucian Constantin | IDG News Service
올 1월부터 해커들이 마이크로소프트 워드의 제로데이 취약점을 악용해 컴퓨터에 악성코드를 감염시켜 온 것으로 밝혀졌다.



해커들은 지난 수개월 동안 마이크로소프트 워드에서 패치되지 않은 취약점을 악용해 컴퓨터를 손상시키고 악성코드로 감염시켰다.

맥아피는 4월 1일 이 공격을 발견해 의심스러운 워드 파일을 분석한 후 7일 처음으로 보고했다. 이 파일은 윈도우 10에서 실행되는 최신 오피스 2016을 포함해 모든 마이크로소프트 오피스 버전에 영향을 주는 취약점을 악용했다.

이 결함은 마이크로소프트 오피스의 윈도우 객체 연결 삽입(Object Linking and Embedding) 기능과 관련이 있다. 맥아피 연구원은 블로그에서 “이 기능을 통해 문서에 참조, 다른 문서, 또는 개체에 대한 링크를 포함할 수 있다”고 밝혔다.

이 공격에 사용된 악의적인 문서가 열리면 외부 서버에 도달해 악의적인 VB스크립트(VBScript) 코드가 포함된 HTA(HTML 애플리케이션) 파일을 다운로드 한다. HTA 파일은 RTF(Rich Text Format) 문서로 위장돼 자동으로 실행된다.

맥아피의 연구원은 "성공적인 공격은 미끼 워드 문서를 닫고 가짜를 보여주기 위해 가짜 공격을 일으킨다"며 "악성코드는 이미 피해자 시스템에 은밀하게 설치돼 있다"고 말했다.

맥아피는 데이터를 검색해 이 취약점을 악용해 1월 말까지 추적했다.

맥아피 보고서에 이어 파이어아이의 보안 연구원도 이러한 공격을 인지하고 몇 주 동안 악용한 사실을 확인해 마이크로소프트와의 공조를 조율했다.

파이어아이에 따르면, 악성코드가 들어 있는 워드 문서는 이메일 첨부 파일로 전송된다. 파이어아이는 악성 이메일의 예를 제시하지는 않았다. 하지만 이전에 알려지지 않은 제로데이 취약점이기 때문에 공격은 제한된 수의 희생자를 대상으로 할 가능성이 크다.

맥아피와 파이어아이는 이 취약점이 윈도우에 포함된 대부분의 메모리 기반 완화를 우회할 수 있다고 언급했다. 이는 취약점이 프로그래밍 오류가 아닌 논리적인 버그이기 때문이다.

마이크로소프트는 미국 현지시각 기준 11일에 매월 보안 업데이트를 발표할 예정이지만 이 취약점에 대한 패치가 포함되는지는 확실치 않다. 마이크로소프트는 이 문의에 바로 답하지 않았다.

그동안 사용자는 신뢰할 수 없는 출처에서 받은 문서를 조심해야 하며, 이 공격을 차단하도록 오피스의 제한된 보기(Protected View) 모드를 사용하도록 설정해야 한다. ciokr@idg.co.kr

2017.04.11

MS워드에서 패치되지 않은 취약점 악용하는 '이메일 기반 공격'

Lucian Constantin | IDG News Service
올 1월부터 해커들이 마이크로소프트 워드의 제로데이 취약점을 악용해 컴퓨터에 악성코드를 감염시켜 온 것으로 밝혀졌다.



해커들은 지난 수개월 동안 마이크로소프트 워드에서 패치되지 않은 취약점을 악용해 컴퓨터를 손상시키고 악성코드로 감염시켰다.

맥아피는 4월 1일 이 공격을 발견해 의심스러운 워드 파일을 분석한 후 7일 처음으로 보고했다. 이 파일은 윈도우 10에서 실행되는 최신 오피스 2016을 포함해 모든 마이크로소프트 오피스 버전에 영향을 주는 취약점을 악용했다.

이 결함은 마이크로소프트 오피스의 윈도우 객체 연결 삽입(Object Linking and Embedding) 기능과 관련이 있다. 맥아피 연구원은 블로그에서 “이 기능을 통해 문서에 참조, 다른 문서, 또는 개체에 대한 링크를 포함할 수 있다”고 밝혔다.

이 공격에 사용된 악의적인 문서가 열리면 외부 서버에 도달해 악의적인 VB스크립트(VBScript) 코드가 포함된 HTA(HTML 애플리케이션) 파일을 다운로드 한다. HTA 파일은 RTF(Rich Text Format) 문서로 위장돼 자동으로 실행된다.

맥아피의 연구원은 "성공적인 공격은 미끼 워드 문서를 닫고 가짜를 보여주기 위해 가짜 공격을 일으킨다"며 "악성코드는 이미 피해자 시스템에 은밀하게 설치돼 있다"고 말했다.

맥아피는 데이터를 검색해 이 취약점을 악용해 1월 말까지 추적했다.

맥아피 보고서에 이어 파이어아이의 보안 연구원도 이러한 공격을 인지하고 몇 주 동안 악용한 사실을 확인해 마이크로소프트와의 공조를 조율했다.

파이어아이에 따르면, 악성코드가 들어 있는 워드 문서는 이메일 첨부 파일로 전송된다. 파이어아이는 악성 이메일의 예를 제시하지는 않았다. 하지만 이전에 알려지지 않은 제로데이 취약점이기 때문에 공격은 제한된 수의 희생자를 대상으로 할 가능성이 크다.

맥아피와 파이어아이는 이 취약점이 윈도우에 포함된 대부분의 메모리 기반 완화를 우회할 수 있다고 언급했다. 이는 취약점이 프로그래밍 오류가 아닌 논리적인 버그이기 때문이다.

마이크로소프트는 미국 현지시각 기준 11일에 매월 보안 업데이트를 발표할 예정이지만 이 취약점에 대한 패치가 포함되는지는 확실치 않다. 마이크로소프트는 이 문의에 바로 답하지 않았다.

그동안 사용자는 신뢰할 수 없는 출처에서 받은 문서를 조심해야 하며, 이 공격을 차단하도록 오피스의 제한된 보기(Protected View) 모드를 사용하도록 설정해야 한다. ciokr@idg.co.kr

X