마이크로소프트(Microsoft) 업체에서는 이메일 첨부 파일을 통해 Word 문서 파일을 오픈할 경우 알려지지 않은 제로데이(0-Day) 보안 취약점을 이용하여 원격 코드 실행이 가능한 사이버 공격이 아랍 및 동남아시아(파키스탄)의 특정 타켓을 대상으로 공격이 이루어지고 있다는 소식을 공개하였습니다.
해당 보안 취약점(CVE-2013-3906)은 Microsoft Windows, Microsoft Office, Microsoft Lync 제품군의 마이크로소프트 그래픽 구성 요소(Microsoft Graphics Component)에 영향을 미치며, 현재 확인된 공격에서는 Microsoft Office 제품군의 취약점을 악용한 타켓 공격이 확인되었습니다.
공격자는 특정 타켓을 대상으로 이메일 첨부 파일에 포함된 악성 MS Word 문서 파일을 발송하여 첨부 파일을 오픈하게 하거나 또는 악의적으로 조작된 웹 사이트에 접근할 경우, 내부에 포함된 조작된 악성 TIFF 이미지를 처리하는 과정에서 원격 코드 실행이 가능하도록 하였으며 성공적으로 Exploit이 이루어진 경우 사용자 권한을 획득하여 추가적인 악의적 기능을 수행할 수 있습니다.
[영향을 받는 소프트웨어 버전]
■ Microsoft Windows 제품군
- Windows Vista Service Pack 2 (32비트, 64비트)
- Windows Server 2008 Service Pack 2 (32비트, 64비트)
■ Microsoft Office 제품군
- Microsoft Office 2003 Service Pack 3
- Microsoft Office 2007 Service Pack 3
- Microsoft Office 2010 Service Pack 1 (32비트, 64비트)
- Microsoft Office 2010 Service Pack 2 (32비트, 64비트)
- Microsoft Office Compatibility Pack Service Pack 3
■ Microsoft Lync 제품군
- Microsoft Lync 2010 (32비트, 64비트)
- Microsoft Lync 2010 Attendee
- Microsoft Lync 2013 (32비트, 64비트)
- Microsoft Lync Basic 2013 (32비트, 64비트)
이에 따라 마이크로소프트(Microsoft) 업체에서는 공식적인 보안 패치를 제공할 때까지 Microsoft Fix it 툴을 통해 CVE-2013-3906 제로데이(0-Day) 취약점을 예방할 수 있도록 다운로드를 지원하고 있습니다.
▷ <Microsoft 고객지원> Microsoft Security Advisory: Vulnerability in Microsoft graphics component could allow remote code execution
영향을 받는 제품군을 사용하는 사용자는 "Microsoft Fix it 51004" 파일을 다운로드하여 설치하시기 바라며, 차후 Windows Update를 통해 공식 패치가 제공될 경우에는 "Microsoft Fix it 51005" 파일을 다운로드하여 Microsoft Fix it을 제거하시고 보안 패치를 설치하시기 바랍니다.
이번 제로데이(0-Day) 보안 취약점을 이용한 공격은 일반 사용자 수가 적은 Windows Vista 등을 타켓으로 한 것으로 보아, 사전에 공격 목표에 대한 정보 수집이 이루어진 후 전개된 것으로 보이는 제한적 공격이지만 동아시아가 공격 범위에 포함되어 있으므로 정부 기관, 기업, 연구소 등 특수한 환경에서는 이메일을 통해 첨부된 문서 파일을 오픈시 매우 주의하시기 바랍니다.