Home > 전체기사
파워포인트를 통한 ‘호버 위드 파워’ 공격, 클릭 없이도 멀웨어 설치
  |  입력 : 2020-04-09 14:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
프레젠테이션 파일인 PPSX 포맷에서 발견된 취약점...마우스오버로 클릭 효과 내
MS 측은 소셜 엔지니어링 요소 있으므로 기술적 취약점 아니라는 입장 고수 중


[보안뉴스 문가용 기자] 파워포인트 파일을 통해 멀웨어를 다운로드 받게 하는 공격 기법이 발견됐다. 이 공격의 특징은 피해자가 악성 링크를 클릭하지 않고, ‘마우스오버’만 실행해도(즉, 마우스 커서를 링크 위에 가져다 놓기만 해도) 멀웨어가 설치되기 시작한다는 것이다. 그러나 마이크로소프트는 이를 대단히 큰 위험으로 받아들이지 않고 있다. 마우스오버 만으로 멀웨어가 다운로드 되긴 하지만, 팝업 창이 하나 뜨고 피해자가 ‘확인’을 눌러야 하기 때문이다.

[이미지 = iclickart]


이 공격 기법을 발견한 보안 전문가 만다르 사탐(Mandar Satam)은 MS의 입장을 반대한다. 그는 자신의 블로그를 통해 “파워포인트는 하이퍼링크 액션을 통해 원격 파일을 추가하지 못하도록 하는데, 이 공격은 이걸 가능하게 하며, 팝업 창의 문구와 파일 이름을 공격자들이 마음대로 바꿀 수 있기 때문에 큰 위험이 될 수 있다”고 주장했다.

사탐은 “취약점은 파워포인트의 오픈 XML 슬라이드 쇼(Open XML Slide Show) 파일들에 내재되어 있다”고 말한다. 이는 PPSX 파일을 말한다. PPSX 파일은 ‘프레젠테이션 쇼 재생’을 위해 만들어지는 것이며, 편집은 불가능하다.

파워포인트는 기본적으로 ‘마우스오버’라는 액션에도 기능을 추가하는 게 가능한 프로그램이다. 물론 MS는 2017년 악성 공격을 막기 위해 링크에 마우스를 올려놓는 것만으로 파일이 실행되는 것을 막았지만, 사탐은 이 장치를 우회하는 게 가능하다는 걸 증명했다. 이는 깃허브를 통해 상세히 공개됐다.

사탐이 깃허브에 작성한 바에 의하면 “이전에는 ‘프로그램 실행(Run Program)’을 링크에 걸 수 있었다가 패치로 막혔는데, 대신 ‘하이퍼링크 연결(HyperLink To)’이라는 액션을 걸고 ‘다른 파일(Other File)’을 지정할 수 있다”고 한다. 패치로 막힌 ‘프로그램 실행’ 대신 ‘하이퍼링크 연결’이라는 액션을 지정함으로써 마우스 커서를 링크에 올려놓기만 해도 원격 서버에 마련된 실행파일을 발동시키는 게 가능하다는 것을 사탐은 증명했다.

하지만 이 때 링크를 HTTP나 HTTPS 유형으로 마련할 경우 공격자 입장에서 문제가 될 수 있다. 깃허브에 올린 설명에 따르면 “HTTP/HTTPS로 액션이 발동될 경우 OS가 브라우저 앱을 통해 파일을 다운로드 받는데, 윈도우 디펜더나 스마트스크린 등이 개입하기 시작한다”고 한다. 그러면서 “신뢰할 수 없는 파일”이라는 경고가 뜨게 되는데, 피해자가 ‘확인’을 눌러도 자동으로 파일이 격리된다. 그래서 그는 SMB 프로토콜을 활용하는 게 공격에는 더 효과적이라고 설명한다.

사탐은 이 공격 기법에 ‘호버 위드 파워(Hover with Power)’라는 이름을 붙이고 MS 측에 알렸다. 하지만 마이크로소프트의 보안 대응 센터(MSRC)는 “소셜 엔지니어링 요소가 포함된 공격이기 때문에 해당 문제점을 취약점이라고 보기 힘들다”는 답장을 보내왔다. “안전한 컴퓨터 사용 습관이 있다면 얼마든지 막을 수 있다”는 것이다.

상세한 익스플로잇 방법은 깃허브(https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md)를 통해 공개되어 있다. 페이지를 맨 아래까지 내리면 익스플로잇이 이뤄지는 과정을 애니메이션으로도 볼 수 있다.

3줄 요약
1. 파워포인트의 ‘프레젠테이션 전용 파일’에서 취약점 발견됨.
2. 링크에 마우스 커서를 올려두기만 해도 멀웨어가 설치되도록 하는 취약점임.
3. 하지만 MS는 소셜 엔지니어링 공격에 해당된다면서 ‘취약점 아니’라는 입장.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)