MSHTML 취약점이 다시 한 번 도마 위에 올랐다. 패치가 나왔지만, 공격자들이 이를 한 번 더 공략하는 데 성공했기 때문이다. 다만 이번 공격은 아주 잠깐만 진행됐고, 따라서 본격적인 사태가 다가올 것이 우려된다.

[보안뉴스 문가용 기자] 보안 업체 소포스(Sophos)의 연구원들이 새로운 익스플로잇을 사용하는 공격자들의 행태를 발견했다. 공격자들은 MS 오피스에서 발견된 치명적 취약점들에 대한 패치를 우회하는 익스플로잇을 실시하고 있다고 한다.

​

[이미지 = utoimage]

공격자들이 사용하는 취약점 익스플로잇은 이전에 공개된 개념증명용 익스플로잇에서 나온 것으로 분석되고 있다. 공격자들은 이 개념증명용 익스플로잇을 가다듬고, 이것을 가지고 폼북(Formbook)이라는 멀웨어를 유포하고 있다고 한다. 약 36시간 동안 공격적으로 스팸 메일을 타고 퍼졌었는데, 지금은 기세가 조금 줄어든 상황이다.

폼북 멀웨어는 2017년 10월부터 발견되기 시작했으며, 주로 항공우주 업체와 제조사들로부터 민감한 정보를 훔치는 데 사용됐다. 미국과 한국에서 특히 폼북 피해가 심한 것으로 알려져 있다. 따라서 이번 캠페인의 피해도 두 나라에 집중되었을 가능성이 없지 않다.

이번 캠페인에 연루된 취약점은 CVE-2021-40444이다. MS 오피스에서 발견되었으며, 원격 코드 실행 공격으로 이어진다. MS는 이미 지난 9월 이 취약점에 대한 패치를 발표했었다. 악성 실행파일을 포함한 CAB 아카이브를 다운로드 하게 함으로써 취약점 익스플로잇이 가능한 것으로 당시 분석됐었다.

이 취약점은 MSHTML 취약점이라는 이름으로도 알려져 있다. 올해 내내 계속된 익스플로잇 공격에 시달렸던 취약점이기도 하다. 지난 9월에는 러시아 내무부에서, 11월에는 국립로켓센터에서 이 취약점을 익스플로잇 하는 공격이 발견되기도 했었다. 또한 11월에는 지메일과 인스타그램 사용자들의 크리덴셜을 훔치기 위한 공작에도 이 취약점이 악용됐었다.

그리고 최근 공격자들은 특수하게 조작한 RAR 아카이브에 워드 문서를 임베드시킴으로써 이 취약점 패치를 우회하는 방법을 개발했다. 소포스에 의하면 이 전략은 10월 24일과 25일 집중적으로 활용되었다가 사라지다시피했다고 하는데, 그렇기 때문에 소포스는 이것이 일종의 실험일 가능성이 높다고 보고 있다. 즉, 본격적인 공격이 곧 시작될 것이라는 뜻이다.

소포스는 이번에 발견된 공격용 아카이브는 이전에 발견할 수 없던 것이라며, MSHTML 취약점에 대한 공격자들의 관심이 아직 죽지 않았음을 지적했다. 패치된 취약점이긴 하지만 동기가 분명하고 실력만 충분히 있다면 아직도 위험거리라는 걸 잊지 말아야 한다는 것이다.

이번 캠페인에서 공격자들은 아카이브 내에 감염된 워드파일을 삽입하는 데에 파워셸 스크립트를 활용하기도 했다. 이 아카이브를 피해자가 열 경우 파워셸 스크립트가 실행되며, 이 스크립트를 통해 폼북이 설치되는 순서로 공격이 진행된다고 한다.

패치가 나왔음에도 익스플로잇 공격이 가능한 건 두 가지 이유 때문이라고 소포스는 분석하고 있다.

1) 패치로 해결된 범위가 비교적 좁았다.

2) 윈라(WinRAR) 압축 유틸리티는 특정 바이트 수가 맞아떨어지면 파일들을 관리할 때 파일 위치에 제한을 받지 않게 된다.

소포스는 “이론 상 절대 구현될 수 없는 공격 전략”이라고 말한다. “그러나 실제로는 구현이 됐고 피해자들이 존재합니다. 아마 그렇기 때문에 공격자들도 실험을 잠시 동안 진행한 것이겠죠. 이 실험으로 그들이 뭘 얻어갔는지는 모르겠습니다만, 조만간 비슷한 실험이나 실제 공격이 있을 가능성이 제법 높다고 봅니다.”

3줄 요약

1. MSHTML 취약점 공략하는 새로운 캠페인 발견됨.

2. 이 캠페인의 특징은 패치가 된 시스템도 공략한다는 것.

3. 현재 이 캠페인을 통해서는 폼북 멀웨어가 유포됐었음.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=103605&page=1&mkind=1&kind=1)]​