일반적으로 누군가가 프로그램에 대한 익스플로잇을 발견하면 패치를 위해 핫픽스가 릴리스됩니다. 이 수명 주기는 이러한 익스플로잇을 발견하고 수정하는 사이에 비교적 짧은 수명을 제공합니다. 따라서 인기 있는 프로그램의 오래된 결함이 여전히 회자되는 것은 매우 이례적입니다. 특히 패치가 릴리스된 후에도 이를 수정하는 경우가 많습니다.
이것이 Microsoft Office의 오래된 악용 사례가 여전히 인터넷을 돌고 있다는 사실이 주목되는 이유입니다. 심지어 2018년에는 세 번째로 널리 퍼진 공격이 되었습니다. 문제는 이 익스플로잇이 2017년에 수정되었고 오늘날까지 여전히 피해를 주고 있다는 것입니다!
악용이란 무엇입니까?
이 익스플로잇은 "CVE-2017-11882"라는 이름이 다소 어렵습니다. 주어진 메모리를 올바르게 처리하지 못한 Office의 일부를 악용했습니다. 이 익스플로잇을 사용하여 해커는 Office에서 코드를 실행하도록 할 수 있습니다. 설상가상으로 피해자에게 관리 권한이 있는 경우 악용하여 컴퓨터 자체를 제어할 수 있습니다.
Office 복사본을 공격하는 익스플로잇의 경우 해커는 사용자가 Word 내에서 감염된 파일을 열도록 유도해야 합니다. 즉, 사용자가 감염된 텍스트 파일을 열만큼 호기심을 갖게 만드는 사기를 통해 익스플로잇이 가장 잘 확산됩니다. 해커는 문서가 포함된 가짜 웹사이트를 설정하고 이것이 중요한 문서라고 주장하거나 일반적으로 지금 읽어야 한다고 주장하여 사용자에게 파일을 다운로드하도록 요청하는 이메일을 보낼 수 있습니다.
새로운 공격 캠페인은 어떻게 작동합니까?
유럽 언어로 된 이메일을 사용하는 활동적인 멀웨어 캠페인은 다음과 같은 RTF 파일을 배포합니다. CVE-2017-11882 익스플로잇을 수행하여 공격자가 사용자 상호 작용 없이 악성 코드를 자동으로 실행할 수 있습니다. pic.twitter.com/Ac6dYG9vvw
— Microsoft 보안 인텔리전스(@MsftSecIntel) 2019년 6월 7일
이 새로운 공격의 물결은 이메일이 첨부된 RTF 파일과 함께 유럽 언어로 발송되는 것을 봅니다. 사용자가 파일을 다운로드하여 열면 스크립트를 다운로드하여 실행하는 코드를 실행합니다. 이 스크립트는 Office 내에서 백도어를 연 다음 명령 센터에 대한 연결을 엽니다.
왜 돌아왔습니까?
공격자가 2017년에 "고정"된 익스플로잇을 반복하는 이유에 관해서는 이러한 특정 공격의 물결을 일으키는 원인이 무엇인지 확실하지 않습니다. 이러한 유형의 공격은 수정 릴리스 날짜 이후 2년이 지나도 여전히 성공적이기 때문에 해커가 표적으로 삼는 "안전한 방법"이 될 수 있습니다.
마이크로소프트는 트위터 계정을 통해 “CVE-2017-11882 취약점은 2017년에 수정되었지만 오늘날까지 공격에서 익스플로잇을 관찰하고 있다”고 밝혔다. “특히 지난 몇 주 동안 활동이 증가했습니다. 보안 업데이트를 적용하는 것이 좋습니다.”
악용을 수정하는 방법
위에서 언급했듯이 수정 사항은 수년 동안 제공되었습니다. 불행히도 이 수정 사항은 오늘날까지 완전히 배포되지 않았습니다. 이것이 수정 프로그램을 "적절하게" 배포하지 않은 Microsoft의 잘못인지 2년 동안 준비된 이 업데이트를 건너뛰는 사용자의 잘못인지에 대한 논쟁의 가능성이 있습니다. 하지만 지금 중요한 것은 Office 소프트웨어를 즉시 업데이트해야 한다는 것입니다.
이렇게 하려면 Word와 같은 Office 응용 프로그램을 엽니다. 상단 메뉴에서 "도움말"을 클릭한 다음 "업데이트 확인"을 클릭합니다. 그런 다음 Office는 위의 문제에 대한 수정 사항을 포함하여 누락된 업데이트를 검색하여 다운로드해야 합니다.
오래된 핵은 쇠퇴합니다
최근 Office 기반 공격의 물결은 2년 전에 "없어져야만 했던" 문제이기 때문에 이상한 것입니다. Office를 마지막으로 업데이트한 시간이 기억나지 않으면 패치가 있는지 빠르게 확인하세요.
소프트웨어 내에서 이러한 오래된 익스플로잇이 반복적으로 발생하지 않도록 하는 가장 좋은 방법은 무엇입니까? 아래에서 알려주십시오.