2021년 9월 7일, Microsoft는 Office 365 및 Office 2019에 영향을 미치는 원격 코드 실행 취약점(CVE-2021-40444)을 해결하기 위한 완화 조치 방법을 공유했습니다. 해당 취약점은 CVSS 점수 8.8로 발표되었으며, Microsoft Office 문서에서 사용되는 브라우저 렌더링 엔진인 MSHTML에서 발견되었습니다. MSHTML은 Internet Explorer 브라우저의 주요 HTML 컴포넌트이며 Visual Studio, Microsoft Outlook 등 다른 소프트웨어에서도 사용됩니다.
EXPMON(exploit monitor)은 지난 9월 8일 Microsoft Office 사용자를 겨냥한 공격을 탐지한 후 취약점을 발견했다고 밝혔습니다. 그와 더불어 RedDrip Team은 [그림 2]에서 최신 Windows 10 Office 2019 및 Office 365에 대한 익스플로잇을 재현했습니다.
[그림 1] Microsoft Office 365 제로데이 취약점 발견(출처 : EXPMON 트위터)
[그림 2] CVE-2021-40444 익스플로잇 재현 (출처 : RedDrip Team 트위터)
CVE-2021-40444 취약점을 통해 공격자는 조작된 Microsoft Office 문서에서 악의적인 ActiveX 컨트롤을 실행할 수 있습니다. 사용자를 속여 악성 문서를 열도록 유도하고 웹 페이지의 특정 ActiveX 컨트롤을 이용해 악성코드를 다운로드 할 수 있습니다. 악성 문서는 e-mail에 첨부될 가능성이 높기 때문에 피싱 메일에 주의해야 합니다.
CVE-2021-40444 제로데이 공격에 대한 조치 방법
MS Office는 기본적으로 인터넷을 통해 수신된 문서를 Protected View 또는 Application Guard for Office 365에서 처리하며, 이것을 통해 CVE-2021-40444 공격을 방지할 수 있습니다. 또한, Microsoft의 Defender Antivirus 및 Defender for Endpoint(빌드 1.349.22.0 이상)는 CVE-2021-40444 취약점에 대한 탐지 및 보호 기능을 제공합니다. 따라서 Antimalware 제품을 최신 상태로 유지해야 합니다.
[그림 3] Protected View (출처 : microsoft)
현재 CVE-2021-40444에 대한 보안 패치가 제공되지 않았기 때문에 ActiveX 컨트롤이 Internet Explorer 및 브라우저를 포함하는 응용 프로그램에서 실행되지 않도록 하는 해결 방법을 참고하여 조치를 취할 것을 권고합니다.
Windows 레지스트리를 통해 Internet Explorer에서 모든 ActiveX가 컨트롤을 설치하지 않도록 비활성 상태로 설정해야 합니다. 이렇게 하면 기존에 설치된 ActiveX 컨트롤은 계속 작동되지만, 악의적인 컨트롤을 포함한 새로운 컨트롤은 추가되지 않습니다.
[ Internet Explorer에서 Active X 컨트롤 설치 중지 설정 ]
레지스트리를 변경하기 전, Regedit을 열어서 백업할 키(있는 경우)를 찾습니다. 경로는 아래와 같습니다.
| HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones |
레지스트리 창 왼쪽에 있는 키를 마우스 우클릭한 뒤, “Export”를 선택합니다. 프롬프트에 따라 생성된 레지스트리 파일을 이름과 쉽게 찾을 수 있는 위치에 저장합니다.
1. 메모장에 아래의 텍스트를 복사하여 확장자를 “.reg”로 저장합니다.
|
Windows Registry Editor Version 5.00
"1001"=dword:00000003 "1004"=dword:00000003
"1001"=dword:00000003 "1004"=dword:00000003
"1001"=dword:00000003 "1004"=dword:00000003
"1001"=dword:00000003 "1004"=dword:00000003 |
2. 새로 생성된 reg 파일을 실행합니다. UAC 프롬프트가 표시되면 “예” 버튼을 클릭하여 레지스트리 항목을 가져옵니다.
3. 컴퓨터를 재부팅하여 새 구성을 적용하면, Internet Explorer에서 ActiveX 컨트롤이 비활성화 됩니다.
추후 Microsoft에서 CVC-2021-40444 취약점에 대한 공식 보안 패치를 제공한다면, 만든 레지스트리 키를 수동으로 삭제하여 임시 레지스트리 수정 사항을 제거할 수 있습니다.
CVC-2021-40444영향을 받는 시스템
|
1. Windows - 8.1, RT 8.1 - 10 : 1607, 1809, 1909, 2001, 20H2. 21H1 2. Windows Server - 2008 서비스팩 2, 2008 R2 서비스팩 1 - 2012, 2012 R2 - 2016, 2019, 2022 - version 2004, 20H2 |
IOC
[ Related IP ]
- 23.106.160.25
- 45.147.229.242
- 104.243.37.143
- 108.62.118.69
[ URL ]
|
URL |
카테고리 |
|
hxxp://hidusi[.]com/ |
Malware Accomplice |
|
hxxp://hidusi[.]com/e273caf2ca371919/mountain[.]html |
Malware Accomplice |
|
hxxp://hidusi[.]com/94cc140dcee6068a/help[.]html |
Malware Accomplice |
|
hxxp://hidusi[.]com/e8c76295a5f9acb7/side[.]html |
Malware Accomplice |
|
hxxp://hidusi[.]com/e8c76295a5f9acb7/ministry[.]cab |
Malware Accomplice |
|
hxxps://joxinu[.]com |
C&C Server |
|
hxxps://joxinu[.]com/hr[.]html |
C&C Server |
|
hxxps://dodefoh[.]com |
C&C Server |
|
hxxps://dodefoh[.]com/ml[.]html |
C&C Server |
|
hxxp://pawevi[.]com/e32c8df2cf6b7a16/specify.html |
C&C Server |
|
hxxp://sagoge[.]com/ |
Malware Accomplice |
|
hxxps://comecal[.]com/ |
Malware Accomplice |
|
hxxps://rexagi[.]com/ |
Malware Accomplice |
|
hxxp://sagoge[.]com/get_load |
Malware Accomplice |
|
hxxps://comecal[.]com/static-directory/templates[.]gif |
Malware Accomplice |
|
hxxps://comecal[.]com/ml[.]js?restart=false |
Malware Accomplice |
|
hxxps://comecal[.]com/avatars |
Malware Accomplice |
|
hxxps://rexagi[.]com:443/avatars |
Malware Accomplice |
|
hxxps://rexagi[.]com/ml[.]js?restart=false |
Malware Accomplice |
|
hxxps://macuwuf[.]com |
Malware Accomplice |
|
hxxps://macuwuf[.]com/get_load |
Malware Accomplice |
[표 1] CVE-2021-40444 관련 악성 URL (출처 : Trend Micro)
(출처 :
https://www.bleepingcomputer.com/news/security/microsoft-shares-temp-fix-for-ongoing-office-365-zero-day-attacks/
https://success.trendmicro.com/solution/000288999
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36240)
보안관제센터 Team MIR