꿈을꾸는 파랑새

마이크로소프트는 악의적인 Office(오피스) 문서를 통해 원격 코드 실행을 얻으려고 야생에서 악용되는 여러 윈도우  및 오피스 제품에서 패치 되지 않은 제로 데이 보안 버그를 공개했습니다.
취약점 번호는 CVE-2023-36884 인증되지 않은 공격자는 사용자 상호 작용이 필요한 고도로 복잡한 공격
악의적으로 특수하게 조작된 마이크로소프트 오피스 문서를 사용하여 취약점을 악용하려는 표적 공격 발견
공격자는 피해자의 컨텍스트 에서 원격 코드 실행을 수행할 수 있도록 특수하게 조작된 Microsoft Office 문서를 만들 수 있으며 그러나 공격자는 피해자가 악성 파일을 열도록 사용자에게 해당 문서를 열게 해야 함
기밀성, 가용성 및 무결성이 완전히 손실되어 공격자가 중요한 정보에 접근하고 시스템 보호를 해제하고 손상된 시스템에 대한 액세스를 거부할 수 있음 그리고 마이크로소프트는 해당 발견해서 현재 해당 문제를 수정 위해서 열심히 노력하고 있고 패치가 올라오며 패치 하시면 됩니다.
공격자는 피해자의 컨텍스트에서 원격 코드 실행을 수행할 수 있도록 특수하게 조작된 Microsoft Office 문서를 만들 수 있으며 CVE-2023-36884 패치를 사용할 수 있을 때까지 Microsoft는 Defender for Office를 사용하는 고객과 모든 Office 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단 공격 표면 감소 규칙을 활성화한 사용자는 버그를 악용하려는 피싱 공격으로부터 보호받을 수 있다고 함
다음과 같은 조치로 완화 가능

FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\EATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
레지스트리 키에 데이터 1이 있는 REG_DWORD 유형의 값으로 추가할 수 있음
Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe
악용 시도를 차단하도록 이 레지스트리 키를 설정하면 위에 나열된 응용 프로그램에 연결된 일부 Microsoft Office 기능에도 영향을 미칠 수 있다는 점에 유의

[소프트웨어 팁/보안 및 분석] - 나토(NATO) 및 우크라이나 지원 그룹을 공격 하는 악성코드-Letter_NATO_Summit_Vilnius_2023_ENG.docx(2023.7.11)

나토(NATO) 및 우크라이나 지원 그룹을 공격 하는 악성코드-Letter_NATO_Summit_Vilnius_2023_ENG.docx(2023.7.11)

오늘은 나토(NATO) 및 우크라이나 지원 그룹을 공격하는 악성코드-Letter_NATO_Summit_Vilnius_2023_ENG.docx 에 대해 글을 적어 보겠습니다. 해당 악성코드는 롬콤랫(RomCom RAT)이라는 단체에서 만든 악성코드

wezard4u.tistory.com

CVE-2023-36884 취약점은 RomCom(러시아를 기반으로 활동하고 있음) 리투아니아 빌니우스에서 NATO 정상 회의에 참석하는 조직을 대상으로 한 최근 공격에서 악용
악용에 성공하면 공격자가 이 취약점을 악용하도록 설계된 악성 .docx 또는 .rtf 문서를 제작하여 RCE(원격 코드 실행) 기반 공격을 수행할 수 있음
물론 백신 프로그램(안티 바이러스 프로그램)에서는 악성코드 탐지하고 있음 나토 및 러시아-우크라이나 전쟁 관련해서 우크라이나 지원 및 우크라이나 구호 단체, 국방, 외교에 종사하시는 분들은 조심하여 달라고 요구

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band