728x90
- 2014년 11월 12일, 윈도우 오피스 OLE 취약점 패치(MS-060)를 우회하는 취약점을 발견하여 이에 대한 상세
분석보고서를 발표함
※ 우회 취약점에 대해 11.12, MS 보안 업데이트(MS-064) 공지
주요내용
- 마이크로소프트 오피스, 파워포인트 문서에 내장된 OLE 파일에 삽입된 '외부 파일 다운로드 링크'를 검증하지
않아 발생한 샌드윔(Sandworm) 취약점을 MS에서 패치(MS-060)('14.10.15)
< CVE-2014-4114 Sandworm 취약점 OLE 파일 내부 >
- MS 패치(MS-060) 후, 맥아피에서 아래의 2가지 보안 이슈와 마우스 오른쪽 클릭으로 파일을 실행할 경우,
인터넷에서 다운로드 받은 파일일 경우에도 경고창을 띄우지 않는 것을 이용
- 이미지 출력 처리 중 사용되는 MarkFileUnsafe() 파일은 인터넷으로부터 임시 폴더에 임의적인 파일을
드롭시키는 기능이 있음
- 공유UNC(\\servername\sharename\path\filename) 위치에서 복사하거나 직접 임베디드한 OLE
stream에 드롭시키는 방법을 통해 MarkFileUnsafe 함수를 호출하여 임의의 파일을 드롭 시킬 수 있으며,
이를 악용한 실제 공격 사례가 나타남
- 인터넷으로부터 받은 파일은 그 파일이 실행되기 전에 아래와 같이 보안 경고창을 사용자에게 보여주는데
그 이유는“excute”함수가 실행되기 전에 시큐리티 존에서 확인하는 윈도우 쉘 기능 때문이며, 오른쪽 클릭을
할 경우 해당 사항을 검사하지 않고 실행시키기 때문에 잠재적 위험성이 있음
- OLE verb 3(OLE 파일이 동작하지 않는 상태의 단계)인 파이썬 코드를 IDLE 툴로 열었을 경우, 인터넷에서
받은 파일이라도 아무런 경고 없이 IDLE 툴이 실행됨
- 이로서 마이크로소프트 python이 설치되어 있을 경우 해당 OLE 관련 파일을 실행했을 때, IDLE 모듈인
tabnaany.py를 불러오는데, 이때 만약 악용하기 위해 MarkFileUnsafe 함수를 이용하여 미리 해당 경로에
악성 tabnnany.py를 생성한 경우, OLE파일을 실행시킬 때 doverb()함수에 의해 자동으로 악성 tabnnany.
py를 실행시킴 - 즉, 임의의 파일 드롭 및 dover()함수의 코드 실행이 2가지 보안이슈이며, 공격자가 이를 이용하여 위장한
tabnanny.py을 드롭 시킬 경우, 사용자가 파워포인트를 오른쪽 클릭으로 실행시켰을 때 악성 파일이 자동으로
실행됨 - 이로 인해 긴급 MS Fixit이후에도 임시 폴더가 드롭 되는 것은 여전히 남아있었으며, 해당 사항에 대해 MS는
문제되는 보안이슈를 모두 조치 후 보안 업데이트(MS-064)(11.12)를 공개함
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| OS 플랫폼에 따라 리다이렉트 경로를 변경하는 Viber 스팸메시지 (0) | 2014.12.03 |
|---|---|
| 소포스, APT 작전에 공격자가 사용하는 코드 및 방법론 발표 (0) | 2014.12.03 |
| 시스코(cisco), 보안분석 툴 오픈소스(OpenSOC) 공개 (0) | 2014.12.03 |
| 2014년 사이버 공격에 사용된 POS malware 분석 보고서 (0) | 2014.12.03 |
| 모바일 운영체제를 대상으로 하는 새로운 중간자공격 기법 (0) | 2014.12.03 |