개요

 

MS 오피스에 17년 된 취약점이 발견 되었다. 이 취약점은 공격자들이 공격 대상 컴퓨터에서 원격으로 악성코드 설치가 가능해 상당히 위험하다. 해당 취약점은 메모리 손상 문제로 발생하는 것으로 MS 오피스 365를 포함한 지난 17년간 출시 되어 온 마이크로소프트 오피스의 모든 버전에 존재한다. 또한 모든 최신 윈도우 10 Creators 업데이트를 포함한 모든 버전의 윈도우 OS에서 동작한다.

 

CVE-2017-11882로 등록 된 이 취약점은 Equation editor OLE 개체를 삽입하고 편집하는 MS Office의 컴포넌트 EQNEDT32.EXE에 존재한다. EQNEDT32.EXE는 17년전 MS Office 2000에서 도입 되었으며, 이전 버전 문서의 호환을 위해 MS Office 2007 이후 공개 된 모든 버전에 이 컴포넌트가 포함 되었다.

 

현재 해당 취약점을 악용한 사례들이 많이 발생하고 있으므로 MS 11월 패치를 최대한 빨리 적용할 것을 권고한다.

 

 

 

확인 내역

 

현재 CVE-2017-11882와 관련된 POC가 공개되어 있다.

 

 

POC를 공개한 저장소에 방문하게 되면 친절히 다음과 같이 공격 가능한 문서를 만드는 방법을 설명 해뒀다.

 

많은 샘플들을 분석 해본 결과, 이 POC를 이용한 샘플들이 대다수였다. 이처럼 누구나 쉽게 악용 가능한 파일을 만들 수 있다는 점, 인터넷을 통해 쉽게 해당 POC를 확보할 수 있다는 점 등을 통해서 우리는 이 취약점을 이용한 악용 사례가 증가 할 것이라고 조심스럽게 예측해본다.

 

문서 파일의 내용을 확인 해보면 다음과 같이 특정 명령을 실행 시키는 구문을 확인 할 수 있다. 이런 점을 사용하여 원격으로 악성코드를 설치 할 수 있게 된다.

 

 

 

대응방안

 

1. 보안 패치

MS에서 발표한 보안 권고문을 참고하여 패치를 적용한다.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

 

 

2. Sniper 제품군 대응 패턴

* Sniper IPS

[3856] MS Office EQNEDT32 BOF

[3857] MS Office EQNEDT32 BOF.A

[3858] MS Office EQNEDT32 BOF.B

[3859] MS Office EQNEDT32 BOF.C

 

* Sniper APTX

[3060] MS Office EQNEDT32 BOF

[3061] MS Office EQNEDT32 BOF.A

[3062] MS Office EQNEDT32 BOF.B

[3063] MS Office EQNEDT32 BOF.C

 

* Sniper UTM

[805374302] MS Office EQNEDT32 BOF

[805374302] MS Office EQNEDT32 BOF.A

[805374302] MS Office EQNEDT32 BOF.B

[805374302] MS Office EQNEDT32 BOF.C

 

 

참고

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about

https://github.com/embedi/CVE-2017-11882

https://github.com/0x09AL/CVE-2017-11882-metasploit