마이크로소프트 오피스, 문서열람만 해도 악성코드 실행되는 제로데이 취약점 발견
공식 보안패치가 나오기 전까지 msdt 사용 여부 확인해 실행 차단해야

[보안뉴스 기획취재팀] 최근 마이크로소프트 오피스(Microsoft Office)에서 제로데이 취약점인 ‘Follina’가 발견됐다. 특히, 이번 취약점은 사용자가 문서를 열람하기만 해도 악성코드가 실행될 수 있어 PC 사용자들의 주의가 필요하다.

[보안뉴스 / 5.31.] [긴급] MS 오피스, 제로데이 취약점 Follina 발견

▲document.xml.rels내의 원격 템클릿 주소지정 코드 화면[이미지=보안뉴스]

영남이공대학교(총장 이재용) 사이버보안연구센터는 “해당 취약점은 지난 5월 29일, 보안연구원 Nao_Sec이 바이러스토탈(Virustotal)에 등록된 악성 워드문서 ‘05-2022-0438.doc’를 분석하는 과정에서 발견됐다”며 “현재 영향을 받는 제품과 버전이 명확히 밝혀지지 않았으나, Microsoft Office Word 2013, 2016, 2019, 2021등 다양한 버전의 최신 패치 환경에서 모두 실행되는 제로데이 취약점으로 파악되고 있다”고 밝혔다.

이 취약점은 마이크로소프트 지원 진단 마법사 msdt에서 발생하며, 마이크로소프트 오피스의 원격 템플릿 기능을 활용해 사용자가 문서를 열람할 때 공격자의 서버에 있는 html을 다운로드하고 파워쉘(Powershell) 등 악의적인 명령을 실행할 수 있다.

[보안뉴스 / 5.31.] [긴급] MS 오피스, 제로데이 취약점 Follina 발견

▲공격자 서버에서 다운로드 되는 html코드 화면[이미지=보안뉴스]

실제로 공개된 공격 코드를 보면 오피스 문서 내에 외부 html 파일을 다운로드 하는 구문을 확인할 수 있다. 문서 열람과 동시에 공격자 서버에서 html 파일이 다운로드 되며, 내장된 악의적인 파워쉘 명령어가 실행된다.

[보안뉴스 / 5.31.] [긴급] MS 오피스, 제로데이 취약점 Follina 발견

▲ms-msdt를 통해 calc.exe를 실행 화면[이미지=보안뉴스]

현재 해당 취약점을 차단하기 위한 보안패치가 제공되지 않아 공식적인 대응방안은 없는 상태이나, ‘HKCR\ms-msdt’ 레지스트리를 제거할 경우 취약점을 임시로 예방할 수 있다.

[보안뉴스 / 5.31.] [긴급] MS 오피스, 제로데이 취약점 Follina 발견

▲HKCR\ms-msdt 레지스트리 제거 화면[이미지=보안뉴스]

또한, 취약점이 실행될 경우 msdt.exe가 winword 등 오피스 프로그램을 통해 실행되는 등의 특성을 보이므로 EDR 등을 운영할 경우 탐지를 시도할 수 있다.

[보안뉴스 / 5.31.] [긴급] MS 오피스, 제로데이 취약점 Follina 발견

▲취약점 실행 시 winword에서 실행되는 msdt.exe 확인 화면[이미지=보안뉴스]

취약점을 분석한 영남이공대 사이버보안연구센터 김수현, 손우탁 연구원은 “공격자가 최근에는 오피스 취약점이 많이 나오지 않자, 매크로를 기반으로 한 공격을 주로 사용했다”면서 “사용자가 클릭해야 실행되는 매크로 악성코드와 달리 이 취약점은 사용자가 문서를 열람하기만 해도 악성코드가 실행되기 때문에 공격자가 적극적으로 활용할 수 있어 각별한 주의가 필요하다”고 밝혔다.

이와 관련 리니어리티 한승연 대표는 “이 취약점에 대한 POC 코드가 공개되어 있고 구현도 쉬워 당장 오늘부터 공격에 악용돼도 이상하지 않기 때문에 각별한 주의가 필요하다”면서, “공식 보안패치가 나오기 전까지 msdt의 사용 여부를 확인해 실행을 차단하거나 EDR의 탐지 정책을 검토하는 등 취약점 실행을 탐지, 차단할 수 있는 정책을 수행해야 한다”고 밝혔다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>