SWF/CVE-2018-15982

SWF/CVE-2018-15982 취약점에 대해 찾아봤다

Office 문서에 포함 된 ActiveX 호출과 함께 플래시 제로 데이(use-after-free () 버그) 코드를 악용하는 방식이라고 한다

ActiveX 플러그인은 Flash Player를 호출하여 공격코드를 실행하는 구조인 셈이다

샘플을 구해 확인해봤다

D0 CF 로 시작하는 엑셀문서로 확인

예전부터 사용하던 OfficeMalScanner 을 사용해서 스캔을 돌려봤다

tra.xls 는 포멧타입이 엑셀이고 0xa18 주소에 Flash signature 가 Embedded 된 부분을 확인했다

tra.xls 문서의 프로젝트는 Sheet1 을 가리키고 있었다

구조는 잘 모르지만 하단부분을 보니 아래와 같은 Flash 파일을 언급하는 부분이 보였다

VB_Control = "ShockwaveFlash1, 1, 0, ShockwaveFlashObjects, ShockwaveFlash"

0xa18 주소에 있는 플래시 파일을 덤프떠서 확인해봤다

뭔진 몰라도 엑셀을 열면 삽입된 플래시 취약점 코드에 의해 계산기가 실행되는 구조였다

플래시 파일이기에 소싱크로 액션스트립트 삽입 유/무를 확인했지만 특이사항이 없었는데,

생각해보니 zlib 구조로 압축된 cws 형태가 아닌 그냥 swf 파일이었다

엑셀에서 플래시 영역을 덤프 뜰때마다 백신에서 기가막히게 잡아낸다

- SWF/CVE-2018-15982 확인했던 어느 밤 -