개요
보안 뉴스에서 해당 기사를 접하게 된 뒤 흥미가 생겨 이 글을 작성하게 되었습니다.
기사 3줄 요약
1. 파워포인트의 ‘프레젠테이션 전용 파일’에서 취약점 발견됨.
2. 링크에 마우스 커서를 올려두기만 해도 멀웨어가 설치되도록 하는 취약점임.
3. 하지만 MS는 소셜 엔지니어링 공격에 해당된다면서 ‘취약점 아니’라는 입장.
MS에서도 '소셜 엔지니어링' 공격이기 때문에 취약점으로 인정해주지 않았지만, 실제 공격에서 많은 퍼센트지를 갖고있는 '소셜 엔지니어링' 공격에서 충분히 사용될만한 공격이라는 점이 흥미를 끌었습니다.
분석
PowerPoint의 하이퍼링크 기능을 이용하여 원격 파일을 마우스 오버 기능에 추가한 뒤 .ppsx 파일로 저장하게 되면 발생하는 매우 간단한 취약점입니다.
먼저 공격에 사용될 문구를 입력한 뒤, 삽입 -> 실행 -> 마우스를 위에 놓았을 때 -> 하이퍼 링크(H) -> 다른 파일... 순으로 클릭한 뒤 SMB를 이용하여 미리 공유해둔 배치 파일에 연결합니다.
이후 해당 파일을 .ppsx 형식으로 저장한 뒤 파일을 실행하게 되면 링크에 마우스가 위치할 때 배치 파일을 다운로드 받아 실행하게 됩니다.
공격에 사용된 배치 파일은 다음과 같이 작성하였습니다.
@echo off
calc.exe
참고로 하이퍼 링크 연결 시 다른 파일..이 아닌 url 유형으로 입력하게 되면 브라우저를 통하여 파일을 다운로드 받기 때문에 보안 솔루션이 개입할 여지가 많아진다고 합니다.
Reference
https://www.boannews.com/media/view.asp?idx=87509&page=3&kind=1
'Hack > System' 카테고리의 다른 글
| Type Confusion이란? (0) | 2023.02.12 |
|---|---|
| Ghidra ARM64 설치 가이드 for MAC M1 or M2 Chip (0) | 2022.11.08 |
| [MS Office 1-Day] Follina 취약점(CVE-2022-30190) (0) | 2022.07.02 |
| Log4Shell (Log4j 0day RCE, CVE-2021-44228) (0) | 2022.04.01 |
| Windows에서 Metasploit 설치 (0) | 2020.09.21 |
댓글