MS워드문서 DDE 취약점 악용 표적 공격 주의보

컴퓨팅입력 :2017/11/01 11:55

손경호 기자

마이크로소프트(MS) 워드문서에서 발견된 DDE 취약점을 악용한 표적 공격이 발생하고 있어 주의가 필요하다.

보안기업 하우리는 '연구용역', '부품구매' 등과 관련된 내용으로 위장한 악성 워드문서가 유포되는 사례를 발견했다고 1일 밝혔다.

수신자가 이 악성 파일을 실행하면 윈도 응용 프로그램 간 같은 데이터를 공유하도록 허용하는 방법 중 하나인 DDE(Dynamic Data Exchange) 관련 보안취약점을 악용한 공격이 이뤄진다. DDE는 MS 액셀, 워드, 비쥬얼베이직 등 여러 응용프로그램에 사용된다.

DDE 취약점을 악용해 공격이 이뤄지는 모습.(자료=하우리)

해당 문서를 실행하면 두 개의 메시지창이 나타난다. 여기서 사용자가 확인 버튼을 누르면 악성 파워쉘 스크립트가 동작한다.

이 악성 파워쉘 스크립트는 국내 인재서비스 전문기업 웹사이트에서 추가로 악성코드를 받아와 실행한다.

이 악성코드는 기존 한컴오피스 한글문서 취약점을 악용하는 것과 같은 기능을 포함하고 있어 동일한 공격자 소행으로 추정된다.

하우리에 따르면 이러한 공격을 막기 위해서는 MS워드에서 파일->옵션->고급->일반에서 '문서를 열 때 자동 연결 업데이트' 항목을 체크해제하면 된다.

관련기사

MS워드 옵션에서 '문서를 열 때 자동 연결 업데이트' 항목을 체크해제하면 DDE 취약점을 악용한 공격을 예방할 수 있다.(자료=하우리)

하우리CERT실은 "MS워드 DDE 취약점은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다"며 "이번에 발견된 워드문서는 국내 표적 공격에 사용된 첫 사례"라고 설명했다.

이어 "DDE는 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않았다"며 "앞으로 공격자들이 워드문서 DDE 취약점을 많이 사용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다"고 덧붙였다.