Skip to content

보안공지

트렌드마이크로 가상패치 업데이트 – MS 워드의 제로데이 취약점(CVE-2014-1761) 확인

등록일: 2014-3-28

 

2014년 3월 24일(미국시간) 마이크로소프트(이하 MS)는 MS 워드의 제로데이 취약점(CVE-2014-1761)에 관한 보안권고(2953095)를 발표하고, MS Fix it 솔루션(51010)을 적용하거나 워드에서 RTF 컨텐츠를 열지 못하도록 설정하여 이 문제점의 악용을 방지할 것을 권고했습니다.

MS 워드의 제로데이 취약점은 특수하게 조작된 RTF 파일을 워드에서 열거나, 아웃룩에서 워드를 뷰어로 미리보기 하여 열었을 경우에 이 취약점이 이용되어 원격 코드 실행이 허용될 수 있어 반드시 조치가 필요합니다.

더욱 주의해야 할 점은 오는 2014년 4월 8일로 마이크로소프트 오피스 2003의 지원이 종료될 예정인데 이미 Word 및 Excel 파일의 Windows PowerShell을 이용한 악성코드가 확인되었습니다.
(트렌드마이크로 진단명: VBS_CRIGENT.LK / VBS_CRIGENT.SM)

다운로드 된 PowerShell 스크립트는 다른 워드와 엑셀 문서에 감염시키는 데 필요한 악성 CRIGENT 코드(일명, Power Worm”)를 포함하고 있으며, 이 때 MS 오피스의 보안 설정을 낮추기 위해 아래 레지스트리 항목을 수정하는 PowerShell 스크립트를 사용합니다.


[그림: 레지스트리 항목 수정 스크립트]

감염 시, 네트워크 드라이브를 포함하여 사용 가능한 모든 드라이브에서 DOCX, * DOC, XLS *, 그리고 * XLSX 확장자를 가진 Microsoft Word 또는 Microsoft Excel 문서 파일을 검색하고 감염을 시도합니다.
(트렌드마이크로 진단명: W97M_CRIGENT.JER / X97M_CRIGENT.A)


CVE-2014-1761에 대한 취약점은 트렌드마이크로의 종합 보안 제품 "Trend Micro Deep Security“ 또는 "오피스스캔 IDF(취약점 방지 옵션)"을 이용하여 “Microsoft Word RTF Remote Code Execution Vulnerability”를 위한 1005990룰을 적용하면 이 취약점을 이용하는 공격으로부터 시스템을 보호 할 수 있습니다.

• 트렌드마이크로 취약점 패치 룰 업데이트 정보 :

발표일 DPI 룰 번호 트렌드마이크로 DPI 룰 이름 취약점 ID MS보안권고
2014-03-27 1005990 Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761) CVE-2014-1761 보안권고
(2953095)

 

• 영향 받는 소프트웨어 :
  - Microsoft Word 2013
  - Microsoft Word 2010
  - Microsoft Office Word 2007
  - Microsoft Office Word 2003


Connect with KR on