프레젠테이션 파일인 PPSX 포맷에서 발견된 취약점...마우스오버로 클릭 효과 내

[이미지 = iclickart]

이 공격 기법을 발견한 보안 전문가 만다르 사탐(Mandar Satam)은 MS의 입장을 반대한다. 그는 자신의 블로그를 통해 “파워포인트는 하이퍼링크 액션을 통해 원격 파일을 추가하지 못하도록 하는데, 이 공격은 이걸 가능하게 하며, 팝업 창의 문구와 파일 이름을 공격자들이 마음대로 바꿀 수 있기 때문에 큰 위험이 될 수 있다”고 주장했다.

사탐은 “취약점은 파워포인트의 오픈 XML 슬라이드 쇼(Open XML Slide Show) 파일들에 내재되어 있다”고 말한다. 이는 PPSX 파일을 말한다. PPSX 파일은 ‘프레젠테이션 쇼 재생’을 위해 만들어지는 것이며, 편집은 불가능하다.

파워포인트는 기본적으로 ‘마우스오버’라는 액션에도 기능을 추가하는 게 가능한 프로그램이다. 물론 MS는 2017년 악성 공격을 막기 위해 링크에 마우스를 올려놓는 것만으로 파일이 실행되는 것을 막았지만, 사탐은 이 장치를 우회하는 게 가능하다는 걸 증명했다. 이는 깃허브를 통해 상세히 공개됐다.

사탐이 깃허브에 작성한 바에 의하면 “이전에는 ‘프로그램 실행(Run Program)’을 링크에 걸 수 있었다가 패치로 막혔는데, 대신 ‘하이퍼링크 연결(HyperLink To)’이라는 액션을 걸고 ‘다른 파일(Other File)’을 지정할 수 있다”고 한다. 패치로 막힌 ‘프로그램 실행’ 대신 ‘하이퍼링크 연결’이라는 액션을 지정함으로써 마우스 커서를 링크에 올려놓기만 해도 원격 서버에 마련된 실행파일을 발동시키는 게 가능하다는 것을 사탐은 증명했다.

하지만 이 때 링크를 HTTP나 HTTPS 유형으로 마련할 경우 공격자 입장에서 문제가 될 수 있다. 깃허브에 올린 설명에 따르면 “HTTP/HTTPS로 액션이 발동될 경우 OS가 브라우저 앱을 통해 파일을 다운로드 받는데, 윈도우 디펜더나 스마트스크린 등이 개입하기 시작한다”고 한다. 그러면서 “신뢰할 수 없는 파일”이라는 경고가 뜨게 되는데, 피해자가 ‘확인’을 눌러도 자동으로 파일이 격리된다. 그래서 그는 SMB 프로토콜을 활용하는 게 공격에는 더 효과적이라고 설명한다.

사탐은 이 공격 기법에 ‘호버 위드 파워(Hover with Power)’라는 이름을 붙이고 MS 측에 알렸다. 하지만 마이크로소프트의 보안 대응 센터(MSRC)는 “소셜 엔지니어링 요소가 포함된 공격이기 때문에 해당 문제점을 취약점이라고 보기 힘들다”는 답장을 보내왔다. “안전한 컴퓨터 사용 습관이 있다면 얼마든지 막을 수 있다”는 것이다.

상세한 익스플로잇 방법은 깃허브(https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md)를 통해 공개되어 있다. 페이지를 맨 아래까지 내리면 익스플로잇이 이뤄지는 과정을 애니메이션으로도 볼 수 있다.

​3줄 요약

1. 파워포인트의 ‘프레젠테이션 전용 파일’에서 취약점 발견됨.

2. 링크에 마우스 커서를 올려두기만 해도 멀웨어가 설치되도록 하는 취약점임.

3. 하지만 MS는 소셜 엔지니어링 공격에 해당된다면서 ‘취약점 아니’라는 입장.​ 

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87509&page=1&mkind=1&kind=1​​]​