마이크로소프트 오피스 새로운 원격 코드 실행 0-day 혹은 1-click?

오늘도 정보보안 새로운 뉴스가 뭐가 있나~ 보려고 트위터를 열었는데 새로운 워드 0-day RCE 취약점이 있다고 하더라고요. 무엇인지 한번 알아보도록 해보았습니다. 

미리 결과에 대하 말씀 드리자면, 유저는 악성 워드 파일을 열기만 하면 코드가 실행되고,  Defender를 우회할 수 있습니다.

 

5월 27일에 nao_sec이라는 (https://twitter.com/nao_sec/status/1530196847679401984) 분께서 VirusTotal에 업로드된 파일을 공유하셨는데, 그 파일은 "ms-msdt" 활용하여 Powershell 코드를 실행시킵니다.

Malware Bazaar 다운로드 링크: https://bazaar.abuse.ch/sample/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/

 

악성파일은 워드의 remote template feature를 활용하여 공격자의 웹사이트에 있는 HTML 파일을 불러오고, 그 HTML 파일은 powershell 코드를 실행시킵니다. 하지만 아래 사진을 보시면, 이 악성파일은 ms-msdt를 사용합니다.

msdt는 Microsoft Support Diagnostics Tool이고, "diagnostic data"를 수집한 다음에 troubleshoot용으로 쓰는 것이랍니다.

코드를 디코딩해서 다음과 같은 powershell를 받습니다.

저의 워드에 대한 블로그를 읽으신 분들은 알고 계시겠지만 워드로 진행되는 공격은 대부분 유저가 "Enable Macro"를 누르지 않는 이상 악성코드가 실행되지 않습니다. 

하지만 ms-msdt는 macro가 없어도 되고, 피해자 워드 파일을 열자마자!!! 악성코드가 실행됩니다.

Live demo를 보고 싶으신 분들을 위해 비디오 링크를 몇 개 남기겠습니다.

https://www.youtube.com/watch?v=GybD70_rZDs

https://www.linkedin.com/feed/update/urn:li:activity:6936891477365047296/

LinkedIn John H. 페이지: MS-MSDT "Follina" Office click-to-hack. | 댓글 12

 

방어 방법은?

1) Didier Stevens님에 따르면 ms-msdt의 Registry  scheme를 삭제하면 된다고 하네요. (https://twitter.com/DidierStevens/status/1531033449561264128/photo/1)

https://twitter.com/sans_isc/status/1531075423270051841

트위터에서 즐기는 SANS ISC

트위터에서 즐기는 Didier Stevens

2) msdt.exe 프로세스 감시

3) Office가 child process를 생산하는 걸 ASL 규칙으로 막기:

Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled

4) 수상한 오피스 파일을 열지 맙시다 :)

 

 

마이크로소프트 업데이트 5월30일

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center