본문 바로가기
취약점소식

[MS] Microsoft Word 원격코드 실행 신규 취약점 주의 권고(0-Day : CVE-2014-1761) + Fix it 공개

by 잡다한 처리 2014. 3. 26.
반응형


2014년 3월 24일 Microsoft Word 프로그램과 관련 된 제로데이(0-Day : CVE-2014-1761)취약점이 발견되었다.


해당 취약점을 악용한 Word RTF 문서(Rich Text Format) 실행 시 또는 Microsoft Outlook 이메일 클라이언트 프로그램의
이메일 뷰어 기능을 사용할 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니,
해당 제품을 사용하시는 사용자들은 보안 패치 적용 전까지는 의심스런 문서 파일 실행을 하지 않도록 주의하길 바란다.


이번에 발견 된 Microsoft Word 프로그램 취약점은 RTF 파일을 처리하는 과정에서 발생하는 원격코드 실행 취약점으로써,

Microsoft Word 2010 버전을 통해 조작 된 RTF 파일을 오픈할 때 조작 된 RTF 형식 데이터를 구분 분석 시 메모리에 임의 코드를
실행 할 수 있는 취약점이라고 한다.


이번 취약점은 지원 중인 모든 버전의 Microsoft Word 버전에 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.

- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 
그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



실제 CVE-2014-1761 취약점을 악용한 문서파일도 발견 된 것으로 보인다.

- SAMPLE HASHES

Filename : %TEMP%\svchost.exe


MD5 : af63f1dc3bb37e54209139bd7a3680b1

SHA1 : 77ec5d22e64c17473290fb05ec5125b7a7e02828


- C&C SERVER AND  PROTOCOL

C&C Server : h**ps://185.12.44.51 Port: 443

NOTE : on port 80 the C&C host serves a webpage mimicking the content of "http://www.latamcl.com/" website


GET request example:

h**ps://185.12.44.51/[rannd_alpa_chars].[3charst]?[encodedpayload]


User-Agent string : "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64;2*Uuhgco}%7)1"

- REGISTRY INDICATORS

Registry key added :

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

"Windows Startup Helper" = "%windir%\system32\wscript.exe %TEMP%\[malicious.vbs]"


Service name (possibly) created : WindowsNetHelper 



□ 관련 내용은 아래와 같으니 참고하기 바란다.


마이크로 소프트에서는 이번 취약점을 CVE-2014-1761 으로 명명하고, 추가 긴급 업데이트를 준비 중일 듯 하다.

■ 영향을 받는 소프트웨어

(지원 중인 모든 버전의 Microsoft Word)


- Microsoft Word 2003 Service Pack 3

- Microsoft Word 2007 Service Pack 3

- Microsoft Word 2010 Service Pack 1 (32-bit editions)

- Microsoft Word 2010 Service Pack 2 (32-bit editions)

- Microsoft Word 2010 Service Pack 1 (64-bit editions)

- Microsoft Word 2010 Service Pack 2 (64-bit editions)

- Microsoft Word 2013 (32-bit editions)

- Microsoft Word 2013 (64-bit editions)

- Microsoft Word 2013 RT

- Microsoft Word Viewer

- Microsoft Office Compatibility Pack Service Pack 3

- Microsoft Office for Mac 2011

- Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1

- Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2

- Word Automation Services on Microsoft SharePoint Server 2013

- Microsoft Office Web Apps 2010 Service Pack 1

- Microsoft Office Web Apps 2010 Service Pack 2

- Microsoft Office Web Apps Server 2013



현재 마이크로소프트(Microsoft)에서는 CVE-2014-1761 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포 행위가 발생함에 

따라 긴급 "Fix it(Disable opening RTF content in Microsoft Word)"을 배포하고 있으니, 공식적인 패치가 나오기 전까지는 Fix it을 

설치하여  CVE-2014-1761 취약점에 대한 임시적 해결을 할 수 있으니 참고하기 바란다.


- Microsoft Fix it 51010 (Fix it 적용) : 파일 다운로드

- Microsoft Fix it 51011 (Fix it 해제) : 파일 다운로드


※ 정식 보안 패치가 나오면 업데이트 전 해당 프로그램은 삭제 해야 된다. 잊지 마시길^^



Fix it 솔루션이 발표는 되었지만, 정식 보안패치가 나올 때 까지 Microsoft Word 제공하는 보안 센터 옵션을 수정하여 사용하는 것도
하나의 방법이라 볼 수 있다.

※ 보안센터 - 고급 파일 설정 - RTF 파일 열기, 저장 체크 - 선택한 파일 형식에 대한 열기 동작 : 열지않음 체크


댓글