개요

 

최근 해외에서 이슈가 되고 있는 MS Office 0-day 취약점이다. 해당 취약점은 모든 Office 버전에서 동작 가능한 것으로 주의가 필요하다.

 

공격자는 .docx를 RTF 파일에 포함시켜 공격을 시도했다. RTF 파일에는 사용자가 열도록 유도하는 피싱 하위 파일이 포함되어 있으며, 공격자는 Microsoft Word 태그 및 해당 속성을 사용하여 원격 임의 코드 실행을 트리거 시켰다.

 

이와 관련하여 실제 악성 샘플을 바탕으로 CVE-2017-11826 취약점을 살펴보도록 하겠다.

 

[취약한 버전]

Microsoft Office Compatibility Pack Service Pack 3

Microsoft Office Online Server 2016

Microsoft Office Web Apps Server 2010 Service Pack 2

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Office Word Viewer

Microsoft SharePoint Enterprise Server 2016

Microsoft Word 2007 Service Pack 3

Microsoft Word 2010 Service Pack 2 (32-bit editions)

Microsoft Word 2010 Service Pack 2 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2010 Service Pack 2

 

[취약점 발생 부분]

OOXML parser

 

확인 내역

분석

분석한 샘플은 RTF 형태로 그 안에 docx 파일이 포함되어 있다.

[그림1] RTF 파일

 

해당 RTF 파일 내에 포함되어 있는 docx 파일을 따로 추출해서 분석하게 되면 그 안에 document.xml 파일이 포함되어 있는 것을 확인 할 수 있다. 해당 파일에는 취약점이 발생하는 부분이 존재한다.

[그림2] 추출한 docx 파일

 

[그림3] document.xml 파일

 

document.xml 파일을 열어보게 되면, 다음과 같이 글꼴 이름에 DWORD 값이 포함되어 있는 것을 확인 할 수 있다.

 

[그림4] DWORD가 포함된 글꼴 이름

 

해당 취약점은 OOXML 파서에서 type confusion이 발생하는 것으로, 위 [그림4]에서 살펴 본 것 같이 글꼴 이름에 포함된 DWORD 부분을 해석하는 과정에서 취약점이 발생하는 것을 확인 할 수 있다.

 

 

대응방안

 

MS 10월 보안 업데이트

MS보안 권고

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

 

 

 

참고

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

https://360coresec.blogspot.kr/2017/10/new-office-0day-cve-2017-11826.html