CVE-2017-11882: Microsoft Office의 20년 전 취약점 여전히 악성코드 전달에 적극 활용 중
목차:
이미 3년 전에 패치됨에도 불구하고, 해커들은 Microsoft Office(CVE-2017-11882)의 오래된 원격 코드 실행 취약점을 이용해 피해자에게 악성코드를 전염시키고 있다고 전해진다. 위협 분석에 따르면 보고서 HP Bromium에 따르면, 이 취약점은 2020년 4분기에 사용된 모든 익스플로잇 중 거의 4분의 3을 차지한다.
CVE-2017-11882 설명
CVE-2017-11882는 Microsoft Office의 Equation Editor에서 발생하는 메모리 손상 오류로, 취약한 장치에서 원격 코드 실행을 가능하게 한다. 해커들은 사용자가 특수하게 조작된 파일을 열도록 속여 이 결함을 악용할 수 있다. 성공적으로 악용되면 적은 현재 사용자 컨텍스트에서 임의의 코드를 실행할 수 있는 능력을 얻는다. 사용자가 관리자 권한으로 로그인했다면, 공격자는 목표 인스턴스를 완전히 제어할 수 있게 될 것이다.
이 취약점은 거의 20년 전에 Microsoft Office에 도입되었고 패치되었다 2017년 11월 패치 화요일 릴리스로 공급업체에 의해. 그러나 공식적인 수정 작업은 야생에서의 적극적인 악용을 중단시키지 못했다. 2017년 이후로 이 취약점은 Loki, FormBook, Pony, ZBOT, Ursnif, Agent Tesla 등을 포함한 다양한 악성코드 샘플을 배포하는 데 계속 사용되고 있다. CVE-2017-11882를 포함한 Equation Editor 익스플로잇의 극도의 인기는 Microsoft Office 사용자가 시스템을 제 때 업데이트하지 못하는 경우가 많아 해커들에게 문이 열려 있기 때문이다.
야생에서의 CVE-2017-11882 익스플로잇
합동 조사 국토안보부, FBI, 미 정부의 보고서에 따르면, CVE-2017-11882는 고급 위협 행위자가 악의적인 작전에 가장 자주 사용하는 취약점 목록에 포함된다. 보고서에 따르면, 중국, 북한, 러시아 해커들은 적어도 2016년부터 지속적으로 Microsoft Office 버그를 활용하고 있다.
HP Bromium 분석에 따르면, 이 경향은 2020년에 더욱 심화되어 CVE-2017-11882가 2020년 3분기에서 4분기 사이의 주요 익스플로잇이 되었다. 특히 2020년 3분기에는 Microsoft Office 취약점이 사용된 익스플로잇의 거의 90%를 차지했다. 그리고 2020년 4분기 동안 패치되지 않은 익스플로잇을 활용한 모든 사이버 공격의 74%가 CVE-2017-11882에 의존했다.
탐지 및 완화
CVE-2017-11882의 극도의 인기를 고려할 때, 사용자는 가능한 한 빨리 서비스를 업데이트하여 보안을 유지하도록 촉구된다. 취약점을 이용한 사이버 공격을 탐지하려면 Keen Threat Bounty 개발자인 Aytek Aytemur:
에서 새 커뮤니티 Sigma 규칙을 다운로드할 수 있다.
그 규칙은 다음 플랫폼에 번역되어 있다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
전술: 실행, 발견
기법: 클라이언트 실행을 위한 익스플로잇(T1203), 레지스트리 조회(T1012), 시스템 정보 수집(T1082)
또한, CVE-2017-1182 탐지의 전체 목록 Threat Detection Marketplace에서 확인할 수 있다. 블로그에서 추가 업데이트를 위해 계속 주목하세요.
Threat Detection Marketplace 구독 무료로 업계 최초의 SOC 콘텐츠 라이브러리를 이용할 수 있으며 100K+ 탐지 및 대응 규칙이 MITRE ATT&CK 매트릭스 에 매핑되어 있으며 사용 중인 보안 솔루션에 적용됩니다. Sigma 규칙을 개발하고 싶은 영감을 받은 분들? Threat Bounty Program에 참여하세요! 위협 헌팅 기술을 향상시키고 싶다면? 초보자용 Sigma Rules 가이드 를 읽어보세요.
