마이크로소프트(Microsoft) 업체에서 제공하는 MS Word 문서 편집 프로그램의 제로데이(0-Day) 취약점(CVE-2014-1761)을 통해 악의적으로 조작된 RTF 문서 파일을 이용한 악성코드 유포에 대한 정보가 공개되었습니다.
정보에 따르면 Microsoft Word 2010 버전을 통해 악의적으로 조작된 RTF 파일을 오픈하거나 Microsoft Outlook 이메일 클라이언트 프로그램의 이메일 뷰어 기능으로 Microsoft Word 프로그램을 사용하여 악의적으로 조작된 RTF 첨부 파일을 미리보기 방식으로 오픈하는 과정에서 메모리 손상 취약점(CVE-2014-1761)을 이용한 원격 코드 실행을 통해 시스템 감염을 유발하는 공격이 제한적으로 이루어지고 있다고 합니다.
□ Microsoft Word 2003 Service Pack 3
□ Microsoft Word 2007 Service Pack 3
□ Microsoft Word 2010 Service Pack 1 (32-bit editions)
□ Microsoft Word 2010 Service Pack 2 (32-bit editions)
□ Microsoft Word 2010 Service Pack 1 (64-bit editions)
□ Microsoft Word 2010 Service Pack 2 (64-bit editions)
□ Microsoft Word 2013 (32-bit editions)
□ Microsoft Word 2013 (64-bit editions)
□ Microsoft Word 2013 RT
□ Microsoft Word Viewer
□ Microsoft Office Compatibility Pack Service Pack 3
□ Microsoft Office for Mac 2011
□ Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
□ Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
□ Word Automation Services on Microsoft SharePoint Server 2013
□ Microsoft Office Web Apps 2010 Service Pack 1
□ Microsoft Office Web Apps 2010 Service Pack 2
□ Microsoft Office Web Apps Server 2013
감염된 시스템 환경에서는 "C:\Users\(사용자 계정)\AppData\Local\Temp\svchost.exe" 악성 파일(SHA-1 : 77ec5d22e64c17473290fb05ec5125b7a7e02828)을 생성 및 시스템 시작시 자동 실행하도록 서비스(WindowsNetHelper) 등록을 통해 C&C 서버로 SSL 암호화 통신을 하는 백도어(Backdoor)로 알려져 있으며, 이를 통해 정보 유출 및 추가적인 악성코드 다운로드가 이루어질 수 있을 것으로 추정됩니다.
현재 마이크로소프트(Microsoft) 업체에서는 정식 보안 패치가 나올 때까지 "Disable opening RTF content in Microsoft Word" Fix it 도구를 통해 임시적으로 Microsoft Word 프로그램을 통해 RTF 문서 파일을 오픈할 수 없도록 기능 제한을 하도록 돕고 있습니다.
- "Disable opening RTF content in Microsoft Word" 활성화 : Microsoft Fix it 51010
- "Disable opening RTF content in Microsoft Word" 비활성화 : Microsoft Fix it 51011
Fix it 임시 패치가 적용된 환경에서는 차후 CVE-2014-1761 제로데이(0-Day) 취약점에 대한 공식 보안 패치를 설치할 경우에는 "Microsoft Fix it 51011" Fix it을 이용하여 기능을 정상적으로 복원한 후 보안 패치를 설치하시기 바랍니다.