韓国のワードファイルを狙ったサイバー攻撃、北朝鮮が関与か? - FireEye

段落テキストは、データ記録型として本文の各段落の内容を保存している。.hwpxファイル内の段落テキストのタグを解析すると、hwpapp.dllの論理エラーにより、型の取り違えのシナリオが発生する。こうした脆弱性とヒープ・スプレー攻撃を組み合わせることで、コードの実行に影響を及ぼすことが可能となる。

HWPXファイルの構造は、一連のディレクトリやXMLファイルを格納するアーカイブ(zip)ファイルに類似している。「Contents」ディレクトリ内のXMLは、HWPXファイルが格納するデータと、データのレンダリング方法を定義している。Contents/section1.xmlには、脆弱性を発動させるXMLが格納されている。

パーサーは、linesegアイテム用のオブジェクトを作成し、その中の属性を解析・保存する。

hp:tエレメントには、数字、Unicodeキャラクター、タブ、改行が格納されおり、Unicodeは、型の取り違えが発生した後の実行ファイルのリダイレクトに使用される。これは、メモリの中に段落テキストを構成している。

このコンテンツの定義にlinesegアレイが含まれているため、パーサーはlinesegオブジェクトを複製し、段落テキストの末尾に追加する。