고정 헤더 영역
상세 컨텐츠
본문
CVE-2022-30190 취약점에서 파생된 ProtocolNightmare 제로데이 취약점은 Word 문서를 실행하기만해도 원격으로 호스팅되는 악성실행 파일이 포함된 검색 창을 자동으로 열 수 있습니다.
이 취약점은 윈도우에서 '응용 프로그램 및 HTML 링크'가 사용자 지정 검색 기능인 'search-ms'라는 URI 프로토콜 핸들러를 지원하기 때문에 발생할 수 있었습니다.
대부분의 윈도우 검색은 로컬 장치의 인덱스를 검색하지만, 원격 호스트의 파일 공유 목록을 검색하고 검색 창에 사용자가 지정한 제목을 사용하도록 강제할 수도 있습니다.
예를 들어, Sysinternals 도구를 사용하면 live.sysinternals.com을 네트워크 공유로 원격 마운트하여 유틸리티를 실행할 수 있습니다. 이 원격 공유를 검색하고 특정 이름(proc)과 일치하는 파일만 나열하기 위해 아래와 같은 'search-ms' URI를 사용할 수 있습니다.
| search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals |
위 명령어에서 알 수 있듯이 search-ms 'crumb' 변수는 검색할 위치(live.sysinternals.com)를 지정하고 'displayname' 변수는 검색 제목(Searching Sysinternals)을 지정합니다.
아래 그림과 같이 Windows 7, Windows 10, Windows 11의 실행 대화 상자 또는 웹 브라우저 주소 표시줄에서 이 명령을 실행하면 검색 창이 나타납니다.
위의 그림에서 search-ms URI에서 지정한 'Searching Sysinternals'라는 이름으로 창의 제목이 표시된 것을 확인할 수 있습니다.
공격자는 이와 같은 방법으로 공격에 악용할 수 있습니다. 피싱 이메일의 경우, 보안 업데이트나 설치가 필요한 패치인 것처럼 위장할 수 있습니다. 공격자는 악성 프로그램을 호스팅하는데 사용하는 원격 네트워크 공유를 설정한 후, 피싱 첨부 파일이나 이메일에 search-ms URI를 포함할 수 있습니다
사용자에게 아래 그림과 같은 URL을 클릭하도록 하는 것은 쉽지 않습니다. 하지만 이 취약점을 이용한다면 간단히 Word 문서를 열어 원격 검색 창을 열 수 있습니다.
ProtocolNightmare 취약점 발견 배경
보안 분석팀(@nao_sec)은 공격자가 Microsoft Windows 지원 진단 도구(MSDT)에서 CVE-2022-30190 취약점을 이용한다는 것을 발견했습니다. 공격자는 'ms-msdt' URI 프로토콜을 실행하는 악성 Word 문서를 생성해, 문서를 여는 것만으로 PowerShell 명령을 실행할 수 있도록 했습니다.
CVE-2022-30190 취약점은 Microsoft Office 문서를 수정하여 ‘제한된 보기’를 우회하고 사용자의 클릭 없이 URI 프로토콜 핸들러를 실행할 수 있으며, ProtocolNightmare 취약점 발견으로 이어졌습니다.
6월 1일, 보안 연구원 Hickey는 기존 Microsoft Word MSDT 익스플로잇에서 search-ms 프로토콜로 변경해도 공격이 성공하는 것을 확인했습니다.
ProtocolNightmare 익스플로잇를 사용하면, 사용자가 Word 문서를 열 때 자동으로 'search-ms' 명령을 실행하여 원격 SMB 공유에 있는 실행 파일을 나열하는 Windows 검색 창을 엽니다. 이 공유는 '중요 업데이트'와 같이 공격자가 원하는 대로 이름을 설정할 수 있으며 사용자에게 악성코드를 설치하라는 메시지를 표시할 수 있습니다.
Hickey는 MSDT 익스플로잇과 마찬가지로 RTF 문서가 Explorer 미리보기 창에서 렌더링될 때 Windows 검색 창을 자동으로 여는 것을 보여주었습니다.
공격자는 악성 Word 문서를 사용하여 Windows 검색 창을 자동으로 실행하여 악성 프로그램을 실행하도록 속이는 정교한 피싱 캠페인을 만들 수 있습니다.
이 익스플로잇은 MS-MSDT 원격 코드 실행 취약점만큼 심각하지 않지만 정교한 피싱 공격에 악용될 수 있습니다.
취약점 완화 방법
Hickey는 이 취약점을 완화하기 위해 CVE-2022-30190 취약점과 동일한 완화 방법을 사용할 수 있다고 말합니다 . Windows 레지스트리에서 search-ms 프로토콜을 비활성화합니다.
1. ‘명령 프롬프트’를 관리자 권한으로 실행
2. 레지스트리 키를 백업하려면 "reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg" 명령 실행
3. "reg delete HKEY_CLASSES_ROOT\search-ms /f" 명령 실행
CVE-2022-30190와 ProtocolNightmare, 그리고 PrintNightmare
MSDT와 search-ms 취약점은 모두 새롭게 발견된 것이 아니고, Benjamin Altpeter가 2020년 “Electron 애플리케이션 보안에 대한 논문”에서 처음 공개했습니다 .
그러나 최근들어 피싱 공격을 통해 사용자의 클릭 없이 악성 Word 문서가 유포되자 제로데이 취약점으로 주목받으며 알려지게 되었습니다.
CVE-2022-30190 취약점에 대한 Microsoft 지침에 따르면, Microsoft는 공격자가 사용자 개입 없이 악성 URI를 실행하기 위해 Microsoft Office를 악용할 수 있다는 사실보다는 프로토콜 핸들러와 기본 Windows 기능 결함을 해결하려는 것으로 보입니다.
CERT/CC 취약점 분석가인 Will Dormann은 CVE-2022-30190 취약점이 두 가지 결함을 이용한다고 밝혔습니다.
Hickey는 보안 외신 BleepingComputer에 이번 취약점이 프로토콜 핸들러의 결함이 아니라 'Microsoft Office OLEObject search-ms Location Path 스푸핑 취약점'으로 이어진다고 생각한다고 말했습니다.
Hickey는 “가장 좋은 방법은 검색 기능 제목과 위치 설정 메시지를 수정하여 스푸핑 공격을 방지하거나 URI 핸들러를 비활성화하는 것입니다."라고 설명했습니다.
작년 6월, 보안 연구원들은 PrintNightmare(CVE-2021-34527)라는 Windows Spooler RCE 취약점에 대한 기술적 세부 사항과 개념 증명(PoC) 익스플로잇을 실수로 공개했습니다.
Microsoft가 PrintNightmare 취약점을 수정하기 위해 보안 업데이트를 출시했지만, 보안 연구원 Benjamin Delpy가 공개한 또 다른 취약점으로 인해 공격자는 원격 인쇄 서버에 연결하기만 하면 시스템 권한을 빠르게 얻을 수 있습니다.
PrintNightmare 취약점이 광범위한 문제를 일으켰음에도 불구하고 Microsoft가 이 취약점 패치할 수 있었던 것은 Windows 인쇄에 대한 몇 가지 과감한 변경이 있었기 때문 입니다.
현재 Microsoft는 CVE-2022-30190 취약점에 대해 프로토콜 핸들러/Windows 기능 측면에서만 문제를 임시 해결했고, 보안 연구원들은 'ProtocolNightmare'처럼 공격에서 남용할 수 있는 새로운 URI 핸들러를 찾아내고 있습니다.
Microsoft가 사용자 상호 작용 없이 Microsoft Office에서 URI 핸들러를 실행하지 못하도록 보안 패치를 발표하기 전까지, 새로운 익스플로잇이 출시되고 있습니다.
출처
보안관제센터 MIR Team
'국내외 보안동향' 카테고리의 다른 글
| 200만회 이상 다운로드 된 구글 플레이 스토어의 안드로이드 악성코드 (0) | 2022.06.17 |
|---|---|
| Mandiant, LockBit 랜섬웨어에 해킹당했다는 주장에 “증거 없다” (0) | 2022.06.07 |
| 클롭(CLOP) 랜섬웨어 조직, 한 달 만에 21개 기관 공격해 (0) | 2022.06.02 |
| 운영 중단한 Conti 랜섬웨어, 다른 공격 그룹에 합류 (0) | 2022.05.23 |
| REvil 랜섬웨어 공격 그룹, 다시 활동 재개해 (0) | 2022.05.11 |
댓글 영역