posted by 알짜 정보 岳岩 2019.11.06 07:56

특정 옵션 활성화시킬 경우, SYNK 파일 통해 유입되는 XLM 매크로 못 막아
2011, 2016, 2019 버전 모두 동일...패치해도 마찬가지...SYNK 파일 차단해야


[보안뉴스 문가용 기자] 맥킨토시용 마이크로소프트 오피스가 XLM 매크로를 올바로 비활성화하지 않는다는 문제가 발견됐다. 이는 사용자를 잠재적인 코드 실행 공격에 노출시키는 것이라고 카네기멜론 대학의 CERT/CC에서 경고했다.

[이미지 = iclickart]


맥킨토시용 마이크로소프트 오피스에는 ‘알리지 않고 모든 매크로 비활성화(Disable all macros without notification)’이라는 옵션이 있다. “이 옵션을 켜면, 프롬프트 창을 띄우는 일 없이 XLM 매크로를 활성화할 수 있게 됩니다.” CERT/CC의 설명이다.

여기서 언급되는 XLM 매크로는 마이크로소프트 엑셀 4.0 버전까지 존재하는 것으로, 그 이후 버전부터 VBA 매크로로 대체되었다. 현재는 VBA 매크로가 보다 널리 사용되고 있지만, 최신 오피스 제품들에서 XLM 매크로에 대한 지원이 삭제된 건 아니다.

XLM 매크로는 ‘심볼릭 링크(Symbolic Link)’라고 알려진 유형의 파일인 SYLK에 통합될 수 있다. SYLK 파일의 확장자는 주로 SLK이다. “바로 이 특성이 문제가 됩니다. 왜냐하면 SYLK 포맷에 임베드 된 매크로들은 ‘안전한 열람(Protected View)’ 옵션에서 열리지 않기 때문입니다. 따라서 사용자들은 아무런 보호 장치 없이 문서를 열게 됩니다. 임의 코드 실행을 가능하게 하는 문서와 사용자 사이에 클릭 한 번만이 놓여있을 뿐이라는 소리입니다.”

맥킨토시용 오피스 2011의 경우 이 취약점에 고스란히 노출되어 있다. SYLK 파일을 열 때 사용자에게 어떠한 경고 메시지를 내보내지 않기 때문이다.

이 문제가 상세히 공개된 건 작년 10월의 일이다. 완전히 해결되지 않은 채 시간이 흘렀고, 그래서 CERT/CC가 직접 나서서 경고문을 발표한 것이다. 위에서 언급된 오피스 2011만이 아니라 오피스 2016과 오피스 2019도 같은 취약점에 노출되어 있다고 CERT/CC는 경고했다. 패치를 완료한 버전들도 마찬가지라고 한다.

“사용자가 ‘알리지 않고 모든 매크로 비활성화’ 옵션을 사용하는 것으로 시스템을 설정했을 때, SYLK 파일 내에 있는 XLM 매크로가 아무런 경고 메시지 없이 시작됩니다. 사용자는 매크로가 실행되는 걸 전혀 알아차릴 수가 없습니다. 공격이 은밀히 진행될 수 있다는 소리입니다.” CERT/CC의 설명이다.

“공격자가 사용자를 꼬드겨 ‘알리지 않고 모든 매크로 비활성화’ 옵션을 켜두게 하고 특수하게 조작된 엑셀 문서를 맥킨토시에서 열도록 만들 수 있다면, 원격에서도 임의의 코드를 실행할 수 있게 됩니다. 이 때 공격자의 권한은 공격에 당한 사용자의 그것과 동일하게 됩니다. 즉, 관리자를 유혹하는 데 성공한다면 관리자 권한을 공격자가 얻게 된다는 것입니다.”

아직 정확한 패치가 나오지 않았기에 CERT/CC 측은 다른 대처 방법을 마련해 알렸다. “이메일과 웹 게이트웨이를 설정해서 SYLK 파일을 차단해야 합니다. 또한 문제의 비활성화 옵션 대신 ‘모든 매크로 비활성화 시 사용자에게 물어보기(Disable all macros with notification)’ 옵션을 사용하는 것이 좋습니다.”

3줄 요약
1. 맥킨토시용 오피스 2011, 2016, 2019 모두에서 같은 취약점 나옴.
2. Disable all macros without notification 옵션을 켜면 SYNK 파일에 심긴 매크로가 조용히 시작된다는 것.
3. 아직 패치 나오지 않아, SYNK 유형의 파일을 차단시키는 게 가장 안전. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요