분석 정보/악성코드 분석 정보

[악성코드 분석]경고 메시지 없이 실행되는 MS 워드 비디오 삽입 취약점 주의

TACHYON & ISARC 2018. 11. 12. 10:07

경고 메시지 없이 실행되는 MS 워드 비디오 삽입 취약점 주의

1. 개요

최근 한 보안회사에서 마이크로소프트 社의 워드 문서에서 제공하는 비디오 삽입 기능을 악용하여 악성코드를 실행하는 취약점을 발견했다. 해당 취약점을 이용한 공격은 악성코드 실행 과정에서 오류 및 경고 메시지를 출력하지 않기 때문에 사용자의 주의가 필요하다.
이번 보고서에서는 MS Office 문서 파일의 비디오 삽입 기능을 악용한 악성 동작에 대해 알아보고자 한다.

 

2. 취약점 정보

2-1. 버전 정보

영향 받는 버전

 

  • Microsoft Office 2016

  • Microsoft Office 2013


 

3. 악성 동작 과정

3-1.  개요

이번 취약점은 공격자가 정상적인 비디오를 삽입한 후 관련된 설정을 마음대로 수정할 수 있다는 점과 워드에서 수정사항의 악성 여부를 확인하지 않는다는 점을 악용하고 있다. 먼저 공격자는 정상 비디오를 삽입한 후, 워드 문서 내부의 비디오 설정과 관련된 XML 파일을 수정하여 악성코드를 삽입한다. 이후 피해자가 수정된 비디오를 클릭하면 어떤 경고 메시지도 없이 악성코드가 실행되는 것을 확인할 수 있다. 이번 보고서에서는 아래와 같이 정상 비디오를 삽입한 문서 파일을 수정하여 가짜 설치 파일을 다운로드하는 테스트 샘플을 만들어보겠다.

 

[그림 1] 정상 영상이 삽입된 문서 파일[그림 1] 정상 영상이 삽입된 문서 파일

 

 

3-2.  악성코드 삽입

 삽입된 비디오와 관련된 설정은 디폴트로 워드 문서 내부 “document.xml” 파일의 “embeddedHTML” 태그에서 확인할 수 있다. 공격자는 기본적으로 설정되어 있는 “iframe” 태그를 임의의 악성 HTML, 자바스크립트 코드로 변조하여 실행시킬 수 있다. 테스트 샘플에서는 “embeddedHtml” 태그를 수정하여 Youtube 아이콘을 출력하면서 가짜 설치 파일을 다운로드하도록 수정하였다.

 

[그림 2] 워드 문서 내부 구조[그림 2] 워드 문서 내부 구조

 

 

 

[그림 3] 변조된 “embeddedHtml” 태그[그림 3] 변조된 “embeddedHtml” 태그

 

 

3-3.  악성 코드 실행

 피해자가 비디오를 클릭하여 실행하면, 공격자가 심어놓은 악성코드가 아무런 경고 메시지도 없이 작동하는 것을 확인할 수 있다. 기존의 악성 문서는 매크로를 사용하는 경우가 많은데, 워드 디폴트 보안 설정으로 인해 콘텐츠 사용을 허용하지 않는 한 악성 코드가 작동하지 않았다. 반면 이번에 알려진 취약점은 콘텐츠 사용 허가 없이 삽입된 비디오를 실행시키는 것만으로도 작동할 수 있다는 차이점이 있다.

 

[그림 4] 가짜 설치 파일 다운로드[그림 4] 가짜 설치 파일 다운로드

 

 

 

4. 결론

이번에 알아본 취약점은 HTML, 자바스크립트를 활용하여 다양한 악성 행위를 경고 메시지 없이 실행할 수 있다는 위험성이 있다. 하지만 악성 동작을 실행하기 위해서는 반드시 비디오를 실행시켜야 하므로 사용자가 주의를 기울이면 충분히 피할 수 있는 공격이다.

따라서 출처가 불분명하거나 신뢰할 수 없는 문서 파일을 열람할 때는 문서 콘텐츠 허용 및 비디오 실행에 주의해야 할 것이다.