1. 새로운 Windows Search zero-day
새로운 Windows Search 제로데이 취약점으로 워드 문서를 실행 하는것만으로도 원격의 malware가 포함된 검색 창을 자동으로 열 수 있다. 응용프로그램이나 html 링크에서 사용자 지정 검색을 할 수 있도록 하는 search-ms 라는 URI 프로토콜 핸들러를 악용하는 것이다.
search-ms URI를 포함한 피싱 파일이나 이메일을 통해 공격이 가능 할 것이다. 하지만 팝업이 떴을 때 클릭을 유도하는 것이 쉽지 않은데, 이것을 MS Office의 OLE 객체 결함과 search-ms 프로토콜 처리기를 결합하여 워드 문서를 여는 것 만으로도 검색 창을 열 수 있도록 할 수 있다. CVE-2022-30190 으로 명명된 ms-msdt URI 악용 취약점과 결합하여, search-ms 프로토콜 처리기를 사용하도록 하여 워드를 열면 자동으로 search-ms 명령을 실행하도록 하는 것이다(https://biji-jjigae.tistory.com/199).
Mitigation
search-ms 프로토콜 처리기를 삭제
- 관리자 권한으로 명령 프롬프트 실행
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg백업이 필요하다면 해당 명령어로 레지스트리 키 백엄reg delete HKEY_CLASSES_ROOT\search-ms /f명령어로 삭제
Detail
대부분 Windows 검색으로 로컬 장치의 인덱스를 검색하지만, 원격 호스트에 있는 파일을 공유를 하거나, 커스텀 제목을 사용하도록 강제할 수도 있다.
예를 들어, Sysinternals는 live.sysinternals.com 을 통해 네트워크 공유를 통해 유틸리티를 시작할 수 있다.
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternalscrumb 변수는 검색할 위치를 지정하고, displayname 은 검색 타이틀을 지정한다. 위와 같은 명령어를 실행 대화 상자나 웹브라우저에서 실행하면, displayname 을 타이틀로 하여 탐색기 창이 뜨게 된다.
이러한 방식을 이용하여 search-ms URI를 포함한 피싱 파일이나 이메일을 통해 공격이 가능 할 것이다. 하지만 팝업이 떴을 때 클릭을 유도하는 것이 쉽지 않은데, 이것을 MS Office의 OLE 객체 결함과 search-ms 프로토콜 처리기를 결합하여 워드 문서를 여는 것 만으로도 검색 창을 열 수 있도록 할 수 있다.
워드 문서를 열 때 자동으로 search-ms 명령어를 실행하여 원격지에 있는 실행파일을 보여주고, displayname 을 중요 업데이트 등으로 바꾸어서 사용자가 파일을 실행시키도록 할 수 있다.
'깔짝할짝' 카테고리의 다른 글
| 2022-06-14 Tue (0) | 2022.06.14 |
|---|---|
| 2022-06-03 Fri (0) | 2022.06.03 |
| 2022-05-31 Tue (0) | 2022.05.31 |
| 2022-05-30 Mon (0) | 2022.05.30 |
| 2022-05-13 Fri (0) | 2022.05.13 |