제로데이 취약점, Microsoft Office 문서로 Windows 사용자 타겟팅

Microsoft는 화요일에 특별히 제작된 Microsoft Office 문서를 사용하여 Microsoft Windows에 영향을 미치는 원격 코드 실행 취약점을 식별하는 보안 권고를 발표했습니다.

CVE-2021-40444(CVSS 점수: 8.8)로 추적되는 이 원격 코드 실행 취약점은 MSHTML(일명 Trident)이라는 Microsoft Windows 버전의 Internet Explorer를 위한 독점 브라우저 엔진에 내장되어 있으며 Windows Server 2008부터 2019까지, Windows 8.1부터 10까지 영향을 미칩니다.

“공격자는 브라우저 렌더링 엔진을 호스팅하는 Microsoft Office 문서에서 사용될 악성 ActiveX 컨트롤을 제작할 수 있습니다. 그런 다음 공격자는 사용자가 악성 문서를 열도록 설득해야 합니다.”라고 회사는 보안 권고에서 말했습니다.

“시스템에서 사용자 권한이 적게 구성된 사용자 계정은 관리 사용자 권한으로 운영하는 사용자보다 덜 영향을 받을 수 있습니다.”

회사는 Microsoft Defender Antivirus와 Microsoft Defender for Endpoint가 알려진 취약점에 대한 탐지 및 보호를 제공한다고 밝혔습니다. 고객에게는 악성 소프트웨어 방지 제품을 최신 상태로 유지할 것을 권장하며, 자동 업데이트를 사용하는 경우 추가 조치를 취할 필요가 없다고 전했습니다.

업데이트를 관리하는 기업 고객은 탐지 빌드 1.349.22.0 이상을 선택하고 이를 환경 전반에 배포해야 합니다. Microsoft Defender for Endpoint 경고는 “의심스러운 Cpl 파일 실행”으로 표시됩니다.

Microsoft는 조사가 완료된 후 고객을 보호하기 위해 적절한 조치를 취할 것이라고 밝혔으며, 이는 고객의 필요에 따라 월간 릴리스 프로세스를 통한 보안 업데이트 제공 또는 비주기적 보안 업데이트 제공을 포함할 수 있습니다.

레드먼드의 거인은 Microsoft Threat Intelligence Center(MSTIC)의 Rick Cole, Mandiant의 Dhanesh Kizhakkinan, Bryce Abdo, Genwei Jiang, EXPMON의 Haifei Li가 이 취약점을 발견한 것에 대해 공로를 인정했습니다.

Mandiant의 위협 분석가인 Andrew Thompson은 “사후 악용 행동에 초점을 맞춘 강력한 탐지는 제로데이 악용과 관련된 침입을 탐지할 수 있는 안전망을 제공합니다.”라고 언급했습니다.

EXPMON은 트윗에서 Microsoft Office 사용자를 겨냥한 “매우 정교한 제로데이 공격”을 탐지했다고 밝혔습니다.

“우리는 Windows 10(일반 사용자 환경)에서 최신 Office 2019/Office 365에 대한 공격을 재현했습니다. 영향을 받는 모든 버전에 대한 내용은 Microsoft 보안 권고를 참조하십시오. 이 악용은 논리적 결함을 사용하므로 악용이 완벽하게 신뢰할 수 있으며(위험함)”라고 회사는 트윗했습니다.

한편, Microsoft는 공격의 성격, 목표 또는 이 제로데이 취약점을 악용하는 공격자에 대한 정보를 공개하지 않았습니다.

완화 및 우회 방법과 관련하여 Microsoft는 Internet Explorer에서 모든 ActiveX 컨트롤의 설치를 비활성화할 것을 제안했습니다. 이는 레지스트리를 업데이트하여 모든 사이트에 대해 수행할 수 있습니다.

“이전에 설치된 ActiveX 컨트롤은 계속 실행되지만 이 취약점을 노출하지는 않습니다.”라고 권고문은 말했습니다.

“레지스트리 편집기를 잘못 사용하면 운영 체제를 재설치해야 할 수 있는 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제를 해결할 수 있다고 보장할 수 없습니다.”

개별 시스템에서 ActiveX 컨트롤을 비활성화하려면:

2. Internet Explorer에서 모든 영역에 대해 ActiveX 컨트롤 설치를 비활성화하려면 다음을 텍스트 파일에 붙여넣고 .reg 파일 확장자로 저장합니다:

| | Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. .reg 파일을 두 번 클릭하여 정책 하이브에 적용합니다.

3. 시스템을 재부팅하여 새 구성이 적용되었는지 확인합니다.

이 우회 방법은 64비트 및 32비트 프로세스에 대해 모든 인터넷 영역에 대해 URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 및 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004)를 비활성화(3)로 설정합니다.

새 ActiveX 컨트롤은 설치되지 않으며 이전에 설치된 ActiveX 컨트롤은 계속 실행됩니다.