[Reversing] Remote DOTM Template Injection

[Reversing] Remote DOTM Template Injection

 

참조

> https://interoperability.blob.core.windows.net/files/MS-OI29500/%5BMS-OI29500%5D-180828.pdf

> https://www.ired.team/offensive-security/initial-access/phishing-with-ms-office/inject-macros-from-a-remote-dotm-template-docx-with-macros

> http://web.mit.edu/~stevenj/www/ECMA-376-new-merged.pdf

> https://www.ecma-international.org/publications-and-standards/standards/ecma-376/

 

ESRC Operation ‘Fake Striker’

 

‘.dotx’ 파일 형식은 일종의 OpenXML 문서 형식의 템플릿 파일이며, 문서 파일의 설정 정보, 폰트 정보를 저장하고 있는 형식이다. 여기에 매크로 기능까지 더한 포맷이 ‘.dotm’ 포맷입니다.

 

OOXML 구조를 가진 오피스 파일의 ‘word/rels/settings.xml.rels’에서 ‘AttachedTemplate 릴레이션 타입으로 선언하게 될 때, ‘Target’ 속성으로 외부 URL 혹은 파일 경로를 직접 지정할 수 있다.(ECMA-376의 ‘11.4. Document Template’ 참조) 따라서 공격자의 의도에 따라 ‘Remote DOTM Template Injection’이나 추가 URL/파일 실행 등을 할 수 있게 된다.