1. 새로운 Microsoft Office Zero-Day Exploit
Reference: https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
Windows 시스템에 영향을 미칠 수 있는 MS Office의 RCE zero-day 취약점이 확인되었다. 해당 취약점은 VirusTotal에 업로드 된 워드 문서 05-2022-0438.doc (https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection) 발견 이후 확인되었다.
이 워드 문서는 html 로드를 위해 워드 외부 링크를 사용하고, powershell 코드 실행을 위해 ms-msdt 를 사용한다. 워드의 remote template 기능을 이용하여 서버에서 html 파일을 가져오고, ms-msdt:// uri를 이용하여 악성 페이로드를 실행한다.
매크로가 무효화 되어있어도, MSDT를 이용해 코드를 실행시킬 수 있고, Protected view로 처음 열리지만, RTF 형식으로 바뀌면 문서를 열지 않더라도 실행이 가능해진다.
RTF 형식은 Windows 탐색기 내의 미리보기 창으로도 익스플로잇을 호출할 수 있으며, CVE-2021-40444 와 동일하게 단일 클릭으로도 악용될 수 있다.
- MSTD: Microsoft Support Diagnostics Tool. 문제 해결을 위해 분석을 위한 데이터를 수집하고 트러블 슈팅하기 위한 유틸리티
IOC
xmlformats[.]com
RDF842l.html
05-2022-0438.doc
- SHA-256: 4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784
- MD5 : 52945af1def85b171870b31fa4782e52
'깔짝할짝' 카테고리의 다른 글
| 2022-06-03 Fri (0) | 2022.06.03 |
|---|---|
| 2022-06-02 Thur (0) | 2022.06.02 |
| 2022-05-30 Mon (0) | 2022.05.30 |
| 2022-05-13 Fri (0) | 2022.05.13 |
| 2022-05-10 Tue (0) | 2022.05.10 |