Word (OLE) 파일 취약점

cert 업무로 근무하는 동안 문서 취약점 때문에 고생을 했다. MS 오피스 프로그램은 한번 설치하면 업데이트를 거의 하지 않는다. 그뿐만 아니라 불법 프로그램을 이용해 옛날 버전을 사용하는 경우도 많다.

이상한 변호사 우영우에서도 문서 파일을 첨부해 디비 담당자에게 메일을 보냈고 담당자는 아무 생각 없이 파일을 열어 악성코드를 실행했다. 이후 회사는 개인정보가 유출돼 망할 지경에 이른다.

한 때 유행했던 문서 취약점에 대해 요약해서 작성하고자 한다.

---

CVE-2017-0199

문서를 열 때 자동으로 외부링크에 대한 참조가 일어나 링크의 실행 여부를 묻는다. 사용자는 경고창을 무시하고 예(Y)버튼을 눌러 외부링크를 통해 악성바이너리가 다운로드되고 실행된다.

다운로드되는 파일은 hta 파일인데 이는 html 코드와 동일하다. 당시 이를 통해 PETYA 랜섬웨어에 감염되는 경우가 많았다.

CVE-2017-8759

이 취약점은 CVE-2017-0199를 패치했지만 비슷한 방식으로 공격이 진행된다. 0199처럼 주소를 넣는데 이때는 soap:wsdl=http://.. 와 같이 주소를 넣는다. 닷넷에 해당 WSDL 정보를 건네주고 악성 쉘코드가 실행된다.

CVE-2017-11882

문서에 방정식을 넣을 때 사용되는 EQNEDT32의 취약점을 노렸다. 이 취약점은 경고창 마저 뜨지 않으며 MS Office 2007 이후 모든 버전에서 사용되기 떄문에 감염대상이 넓었다.

계산식 정보가 EQNEDT32에게 전달되면 버퍼오버플로우가 되어 쉘명령을 실행하게 된다.  

DDE 취약점

---

이후 DDE를 이용한 취약점이 나왔는데 이는 취약점이 아니라 정상을 악용한 것이기 떄문에 패치가 나오지 않았다.

DDE(Dynamic Data Exchange)는 1987년 개발된 윈도우 프로그램 간 데이터 통신 프로토콜이며

VB3~6버전을 지원하기 위해 사용됐다. 이후 VB.NET가 출시됨에 따라 2008년 서비스가 종료됐는데 여기서 그 취약점을 쉘코드를 삽입했다. 위 취약점들과의 차이는 경고창이 두번 뜬다는 것이다.

이 취약점은 누구나 만들 수 있는데 다음 사진처럼 필드삽입, 컨트롤+F9를 {} 창을 만들고 여기에 다운로드 주소를 넣는다. 다운로드

이후 워드문서를 실행하면 경고창이 2개 뜨고 계산기가 실행된다.