지난 4월 14일 Microsoft Office Zero Day관련하여 포스팅을 올렸던 적이 있었습니다.(링크)
하지만 여전히 공격은 활성화 상태이며 Microsoft Office를 사용하여 원격 공격자가 Microsoft Office / WordPad 원격 코드 실행 취약점으로 설명한 조작된 문서를 통해 임의의 코드를 실행 할 수 있는 취약점

입니다.

 

오늘은 CVE-2017-0199 취약점 공격 관련 이슈에 대해 포스팅 하겠습니다.

 

최근 4월에 ZeroDay가 처음 발견된 이후 7월에 공격이 급증한 사실을 알았습니다.

 

 

악성 RTF 문서에는 링크가 삽입된 objautlink 객체가 포함되어 있습니다.

 

 

이 문서에는 사용자가 문서를 열 때 업데이트되는 외부 링크에 대한 참조가 있습니다.

 


이 문서는 공격자의 웹 사이트에 다음과 같은 http 호출을 합니다.

 

 

그리고 스크립트를 다운로드 합니다.

 


스크립트를 제거한 후 스크립트가 악의적인 실행파일을 다운로드하여 실행하고 있음을 알 수 있습니다.

 

공격자가 악의적인 Visual Basic 스크립트를 실행할 수 있는 Microsoft Word의 취약점인 CVE-2017-0199를 확인해 보았습니다.
CVE-2017-0199 취약점논리적인 버그이며 대부분의 완화 조치를 우회합니다.


악성 스크립트를 실행하면 악의적인 페이로드를 다운로드하고 실행하며 미끼문서를 사용자에게 표시합니다.
이 두 문서는 LATENTBOT을 포함하고 다른 하나는 WingBird / FinFisher를 포함하는 악의적인 페이로드의 실행을 하게합니다.
악의적인 문서에는 공격자 제어 서버에 대한 링크만 포함 되어있습니다.

 

따라서 Microsoft Office 사용자는 되도록 빨리 최신 패치를 적용하는 것이 피해를 최소화 하는

방안이 될 것 입니다.

 

이번시간에는 CVE-2017-0199 취약점 공격 관련 이슈에 대한 내용으로 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.

 

 

 


 

 

Posted by 로버무트