2014년 3월 24일 Microsoft Word 프로그램과 관련 된 제로데이(0-Day : CVE-2014-1761)취약점이 발견되었다.
해당 취약점을 악용한 Word RTF 문서(Rich Text Format) 실행 시 또는 Microsoft Outlook 이메일 클라이언트 프로그램의
이메일 뷰어 기능을 사용할 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니,
해당 제품을 사용하시는 사용자들은 보안 패치 적용 전까지는 의심스런 문서 파일 실행을 하지 않도록 주의하길 바란다.
이번에 발견 된 Microsoft Word 프로그램 취약점은 RTF 파일을 처리하는 과정에서 발생하는 원격코드 실행 취약점으로써,
Microsoft Word 2010 버전을 통해 조작 된 RTF 파일을 오픈할 때 조작 된 RTF 형식 데이터를 구분 분석 시 메모리에 임의 코드를
실행 할 수 있는 취약점이라고 한다.
이번 취약점은 지원 중인 모든 버전의 Microsoft Word 버전에 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.
- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에
그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)
실제 CVE-2014-1761 취약점을 악용한 문서파일도 발견 된 것으로 보인다.
- SAMPLE HASHES
Filename : %TEMP%\svchost.exe
MD5 : af63f1dc3bb37e54209139bd7a3680b1
SHA1 : 77ec5d22e64c17473290fb05ec5125b7a7e02828
- C&C SERVER AND PROTOCOL
C&C Server : h**ps://185.12.44.51 Port: 443
NOTE : on port 80 the C&C host serves a webpage mimicking the content of "http://www.latamcl.com/" website
GET request example:
h**ps://185.12.44.51/[rannd_alpa_chars].[3charst]?[encodedpayload]
User-Agent string : "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64;2*Uuhgco}%7)1"
- REGISTRY INDICATORS
Registry key added :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Windows Startup Helper" = "%windir%\system32\wscript.exe %TEMP%\[malicious.vbs]"
Service name (possibly) created : WindowsNetHelper
□ 관련 내용은 아래와 같으니 참고하기 바란다.
마이크로 소프트에서는 이번 취약점을 CVE-2014-1761 으로 명명하고, 추가 긴급 업데이트를 준비 중일 듯 하다.
■ 영향을 받는 소프트웨어
(지원 중인 모든 버전의 Microsoft Word)
- Microsoft Word 2003 Service Pack 3
- Microsoft Word 2007 Service Pack 3
- Microsoft Word 2010 Service Pack 1 (32-bit editions)
- Microsoft Word 2010 Service Pack 2 (32-bit editions)
- Microsoft Word 2010 Service Pack 1 (64-bit editions)
- Microsoft Word 2010 Service Pack 2 (64-bit editions)
- Microsoft Word 2013 (32-bit editions)
- Microsoft Word 2013 (64-bit editions)
- Microsoft Word 2013 RT
- Microsoft Word Viewer
- Microsoft Office Compatibility Pack Service Pack 3
- Microsoft Office for Mac 2011
- Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
- Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
- Word Automation Services on Microsoft SharePoint Server 2013
- Microsoft Office Web Apps 2010 Service Pack 1
- Microsoft Office Web Apps 2010 Service Pack 2
- Microsoft Office Web Apps Server 2013
현재 마이크로소프트(Microsoft)에서는 CVE-2014-1761 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포 행위가 발생함에
따라 긴급 "Fix it(Disable opening RTF content in Microsoft Word)"을 배포하고 있으니, 공식적인 패치가 나오기 전까지는 Fix it을
설치하여 CVE-2014-1761 취약점에 대한 임시적 해결을 할 수 있으니 참고하기 바란다.
- Microsoft Fix it 51010 (Fix it 적용) : 파일 다운로드
- Microsoft Fix it 51011 (Fix it 해제) : 파일 다운로드
※ 정식 보안 패치가 나오면 업데이트 전 해당 프로그램은 삭제 해야 된다. 잊지 마시길^^
Fix it 솔루션이 발표는 되었지만, 정식 보안패치가 나올 때 까지 Microsoft Word 제공하는 보안 센터 옵션을 수정하여 사용하는 것도
하나의 방법이라 볼 수 있다.
※ 보안센터 - 고급 파일 설정 - RTF 파일 열기, 저장 체크 - 선택한 파일 형식에 대한 열기 동작 : 열지않음 체크
'취약점소식' 카테고리의 다른 글
| 안랩(AhnLab), V3 Lite 원격코드 실행 취약점 보안 업데이트 권고 (2014-07-30) (0) | 2014.07.31 |
|---|---|
| 오픈SSL(OpenSSL), OpenSSL 라이브러리 취약점 보안 업데이트 권고 (2014-04-09) (0) | 2014.04.14 |
| 알마인드(ALMind), 임의코드 실행 취약점 보안 업데이트 (2014-03-13) (0) | 2014.03.17 |
| 알씨(ALSee), 임의코드 실행 취약점 보안 업데이트 (2014-03-11) (0) | 2014.03.17 |
| 한컴오피스(HancomOffice), 보안 취약점 보안 업데이트 (2014-02-25) (0) | 2014.02.28 |
댓글