Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1,

Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1을 사용하면 원격 공격자가 "Microsoft Windows API"가 있는 Office /WordPad

원격 코드 실행 취약점을 악용하여 공격 할 수 있습니다.

 

오늘의 포스팅은 Microsoft Office Zero Day에 대한 내용입니다.

 

이 공격은 objautlink 객체에 악의적인 링크가 포함된 악성 워드 문서의 형태로 제공됩니다.

rtf의 objautlink는 OLE 자동 링크의 객체 유형입니다.

이 링크는 공격자의 웹서버에 연결을 시도하고 악성 스크립트를 다운로드 합니다.

 

 

 rtf 파일을 디코딩하면 공격자가 연결하려고 하는 URL이 제공됩니다.

 

원본 rtf 데이터 :

 

 

16 진수로 디코드되어 URL을 제공합니다.

 

 

다른 예:

 

 

악의적인 스크립트 :

 

 

이 악의적인 스크립트는 잘 알려진 다른 멀웨어 변종군의 멀웨어 페이로드를 다운로드하고

실행합니다.

다행히도 Microsoft에서 4월 11일에 정기 패치의 일환으로 이 결함에 대한 패치를 발표하였습니다.

따라서 해당 문제에 대한 이슈는 최신 패치를 적용함으로써 보완 할 수 있을 것 같습니다.

 

오늘은 Microsoft Office Zero Day 취약점에 대해 알아보는 포스팅이었습니다.

다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.

감사합니다.

 

 

 

Posted by 로버무트
,