본문 바로가기
취약점소식

[MS] Windows OLE 원격코드 실행 신규 취약점 주의 권고(0-Day : CVE-2014-4114)

by 잡다한 처리 2014. 10. 15.
반응형






2014년 10월 14일 Microsoft OLE와 관련 된 제로데이(0-Day : CVE-2014-4114) 취약점이 발견되었다.


해당 취약점을 이용하여 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격코드가 실행될 수 있는 

취약점으로써 사용자들은 보안 패치 적용 전까지는 의심스런 문서 파일 실행을 하지 않도록 주의하길 바란다.


이번 취약점은 지원 중인 모든 버전의 Microsoft 에서 상관없이 발생 할 수 있는 취약점이니 더욱 사용자의 주의가 필요하다.

- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 
그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



※ 추가 내용

이번 제로데이(0-Day : CVE-2014-4114)은 금일 배포 된 윈도우 보안 업데이트에서 MS14-060 으로 패치 되었다.

[MS14-060] Windows OLE의 취약점으로 인한 원격코드 실행 문제


■ 영향

- 공격자가 영향 받는 시스템에 원격코드 실행


■ 설명

- 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격코드가 실행될 수 있는 취약점

- 관련취약점 :

Windows OLE 원격코드 실행 취약점 (CVE-2014-4114)

- 영향 : 원격코드 실행

- 중요도 : 중요

 

■ 해당시스템

- 참조사이트 참고

한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS14-060

영문 : http://technet.microsoft.com/en-us/security/bulletin/MS14-060

 

■ 해결책

- 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용



□ 관련 내용은 아래와 같으니 참고하기 바란다.


이 사실을 알아낸 곳은 미국 보안업체인 아이사이트 파트너즈(iSIGHT Partners)로 지속적으로 감시 중인 샌드웜(Sandworm)팀에서

최신 윈도우 제로데이 취약점을 이용하여 악성행위를 한 사실을 확인하였다고 한다.


추가적으로 이번 취약점을 이용한 악성파일도 확인이 되었다.

악성파일은 Microsoft Office 중 PowerPoint를 위장하여 스피어피싱 형태로 유포가 되었으며,

NATO, 우크라이나 정부, 미국의 러시아 전문가 그룹, 폴란드 정부, 에너지 산업 단체, 프랑스 통신사업자, 서유럽 정부기관이 타겟

이라고 밝히고 있다.


또한 악성파일은 블랙에너지(BlacEnergy)라는 백도어 형태의 모듈을 이용하였다.

(그림 출처 : http://viruslab.tistory.com/3669)


알약에서는 해당 파일들을 Exploit.CVE-2014-4114, Backdoor.BlackEnergy.A 로 탐지 중이다.


댓글