MS Office CVE-2017-11826 취약점 보안패치 권고
1. 개요
최근, 한 보안 회사에 의해 메모리 손상 취약점을 악용하는 제로 데이 취약점이 발견되었다. 제로 데이 취약점이란 소프트웨어의 취약한 곳을 발견하여 패치가 이루어지지 않는 시점에 공격하는 것을 뜻한다.
해당 취약점은 2017년 10월 10일에 공개되었으며 DOCX 문서가 포함된 RTF 문서의 Office Open XML 파서에서 메모리 손상 취약점이 발생하여 임의의 코드를 실행할 수 있어 사용자들의 최신 보안 패치가 필요하다.
이번 보고서에서는 ‘CVE-2017-11826’ 취약점에 대해서 알아보고자 한다.
![[그림 1] 취약점 공개 내용](https://t1.daumcdn.net/cfile/tistory/993B2E335A17841634)
2. 취약점 번호 : CVE-2017-11826
2-1. 버전 정보
|
영향 받는 버전 |
|
l Microsoft Word Automation Services 0 l Microsoft Word 2016 (64-bit edition) 0 l Microsoft Word 2016 (32-bit edition) 0 l Microsoft Word 2013 Service Pack 1 (64-bit editions) l Microsoft Word 2013 Service Pack 1 (32-bit editions) l Microsoft Word 2013 RT Service Pack 1 0 l Microsoft Word 2010 Service Pack 2 (64-bit editions) 0 l Microsoft Word 2010 Service Pack 2 (32-bit editions) 0 l Microsoft Word 2007 SP3 l Microsoft SharePoint Enterprise Server 2016 0 l Microsoft Office Word Viewer 0 l Microsoft Office Web Apps Server 2013 SP1 l Microsoft Office Web Apps Server 2010 Service Pack 2 l Microsoft Office Online Server 2016 0 l Microsoft Office Compatibility Pack SP3 |
3. DDE 기능
3-1. DEP 우회
첫번째 Object는 CLASSID = “D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731” 를 이용하여 “C:\Windows\system32\msvbvm60.dll” 을 로드 한다. 이는 해당 DLL을 통하여 ASLR과 DEP를 우회하기 위한 목적으로 사용된다.
![[그림 2] ‘msvbvm60.dll’ 로드](https://t1.daumcdn.net/cfile/tistory/993EF4335A17843A01)
![[그림 2] ‘msvbvm60.dll’ 로드](https://t1.daumcdn.net/cfile/tistory/99A450335A17847E39){kind=small}
3-2. 힙 스프레이
두번째 Object는 ActiveX.bin 기법을 이용하여 힙 스프레이를 하는 docx 파일이다. 해당 docx 파일 내부의 문서파일 형태의 activeX1.bin 파일을 메모리에 적제하도록 한다. 이 과정은 힙 스프레이를 통하여 특정 주소로 이동하기 위해 활용된다.
![[그림 3] 힙 스프레이](https://t1.daumcdn.net/cfile/tistory/99E47E335A177A1E0C)
3-3. 메모리 손상
세 번째 Object는 실제 메모리 손상 취약점을 일으키는 역할을 하는 docx 파일이다.
본문 내용 중 아래 [그림 4] 와 같이 시작 태그 <w:font> 와 종료 태그 <o:idmap/> 를 다르게 사용함으로써 OOXML 파서에서 “유형 혼동”을 유발하도록 만든다.
![[그림 4] 태그 오류](https://t1.daumcdn.net/cfile/tistory/999435335A177A6218)
유형 혼동이 발생되는 태그 내의 폰트 명에 비정상적인 값이 들어가 있으며, 해당 값은 UTF-8에서 Unicode로 변환되면서, E8 A3 AC E0 A2 88 -> EC 88 88 08로 변환 된다.
![[그림 5] 주소 변환](https://t1.daumcdn.net/cfile/tistory/99742E335A177A8411)
변환 된 값은 힙 스프레이를 통하여 적재 된 activeX1.bin파일 내의 메모리 주소에 접근하여 특정 값을 읽어온다.
전달받은 값은 ASLR이 우회되어 Base Image Address에 로드 된 msvbvm60.dll의 특정 주소로 점프 한 후 ROP(Return Oriented Programming)를 이용하여 DEP를 우회 한다.
![[그림 6] DEP 우회](https://t1.daumcdn.net/cfile/tistory/9924FC335A17850120)
▶‘C:\Users\사용자계정\AppData\Roaming\Microsoft\Word\Startup\..wll’
![[그림 7] DLL 파일 드롭](https://t1.daumcdn.net/cfile/tistory/99C82B335A1785700C)
해당 폴더에 파일이 존재 한다면 Add-in 기능으로 word 파일을 실행 시 [그림 7]에서 드롭 된 DLL 파일을 함께 로드 하여 실행된다. 실행 된 DLL파일은 사용자 PC정보를 수집하여 공격자 서버로 전송하며 또한 추가적으로 악성코드 다운로드를 시도하는 것으로 확인된다.
![[그림 8] 로드 된 드롭 파일](https://t1.daumcdn.net/cfile/tistory/995EC3335A17858131)
악성코드 동작 이외에도, 다음과 같이 미얀마어로 작성 되어진 문서 파일을 확인할 수 있다.
![[그림 9] 미얀마어로 작성되어 있는 문서 내용](https://t1.daumcdn.net/cfile/tistory/993397335A177E762A)
4. 결 론
아래 링크에 접속하면 해당 취약점에 대한 윈도우 보안 업데이트를 진행할 수 있다.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826
'취약점 정보' 카테고리의 다른 글
| [취약점 분석] VMware 제품군 보안 업데이트 권고 (0) | 2020.07.16 |
|---|---|
| [취약점 분석] Juniper OS 취약점 보안 업데이트 권고 (0) | 2020.07.16 |
| CVE-2020-0796 취약점 주의 (0) | 2020.03.13 |
| [공지]MS 인터넷 익스플로러 원격코드 실행 취약점 긴급 보안업데이트 권고 (MS12-063) (0) | 2012.09.22 |
| 2011년 1월 마이크로소프트(MicroSoft) 윈도우 그래픽 렌더링 엔진 취약점 공개 (1) | 2011.01.06 |