'워드'에 해당되는 글 5건

  1. 2011.07.28 MS10-087 취약점 악용 워드 악성코드 생성기
  2. 2009.06.10 Microsoft 보안업데이트(MS09-018 ~ MS09-027)
2011.07.28 18:21

MS10-087 취약점 악용 워드 악성코드 생성기

ASEC에서는 최근 발견되고 있는 마이크로소프트(Microsoft) 워드(Word)나 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일 포맷인 PDF와 같은 전자 문서 취약점을 악용한 악성코드들이 지속적으로 발견되고 있음을 언급한 적이 있다.


최근 7월에는 다수의 MS10-087 취약점 악용 워드 악성코드 발견된 사례가 있으며, 오사마 빈 라데 사망 일본 대지진과 관련한 사회적인 이슈들이 발생 할 때마다, 이를 악용한 전자문서 취약점을 악용한 악성코드들도 발견되었다.

이렇게 발견되는 전자문서 취약점을 악용한 악성코드들은 사회 공학 기법(Social Engineering)을 이용한 이메일의 첨부 파일 형태로 유포되는 사례가 대부분이며, 실제 EMC/RSA에서 발생한 APT(Advanced Persistent Threat) 형태의 침해 사고에서의 타깃 공격(Targeted Attack)도 취약한 전자문서가 첨부된 이메일로부터 침해 사고가 시작되었다.

특히 최근에 발견되고 있는 취약한 워드 문서들은 대부분이 CVE-2010-3333 취약점인 MS10-087 취약점을 악용하고 있어 보안 패치의 설치가 근본적인 예방책이라 할 수 있다.

금일 ASEC에서는 MS10-087 취약점을 악용할 수 있는 취약한 워드 문서를 생성할 수 있는 악성코드 생성기를 발견하였다.

해당 악성코드 생성기는 아래 이미지와 같은 형태를 가지고 있으며, 클릭 몇 번만으로 악성코드가 포함된 취약한 워드 문서를 생성 할 수 있도록 구성 되어 있다.


위 이미지에서의 제일 상단에는 취약한 워드 문서를 열 때 정상 파일인 것으로 위장하기 위한 정상 워드 문서나 RTF 파일를 선택하도록 되어 있다. 두번째는 취약한 워드 문서를 열었을 때 사용자 모르게 실행될 백도어 형태의 악성코드를 선택하도록 되어 있다.

그리고 마지막으로는 정상 RTF 문서 파일과 악성코드가 합쳐진 취약한 워드 파일을 생성 할 위치를 선택 할 수 있도록 구성되어 있다.

이 외에 해당 생성기는 마이크로소프트 오피스의 버전에 맞도록 간체 중국어, 번체 중국어, 일본어, 한국어 그리고 영어를 선택하여 취약한 워드 문서가 정상적으로 실행되도록 하였다.

이러한 생성기가 중국 언더그라운드에서 공유되고 있다는 점은 취약점이나 악성코드 제작에 대한 특별한 기술이 필요 없이 누구나 악성코드를 생성 가능하다는 점에서 전자 문서 취약점을 악용한 악성코드는 지속적으로 발견 될 것으로 보여진다.

이러한 전자 문서의 취약점을 악용하는 악성코드를 예방하기 위한 근본적인 대응 방안은 보안 패치의 설치라고 할 수 있다.

그리고 다양한  악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.


출처 : http://blog.ahnlab.com/

Trackback 0 Comment 0
2009.06.10 11:43

Microsoft 보안업데이트(MS09-018 ~ MS09-027)

■ 개 요

MS社는 6월 10일 MS 윈도우 및 Office 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 10건(긴급 6, 중요 3, 보통 1)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다.

* 이번 업데이트에는 지난 5.29 공개된 MS DirectX의 취약점에 대한 패치가 포함되지 않았음에 따라 "이메일에 첨부 또는 링크된 QuickTime 동영상 파일(.mov)에 대해 작성자 확인후 열람" 등 유의하여 주시기 바랍니다.



■ 보안 업데이트에 포함된 취약점 및 관련 사이트

1
. Active Directory 취약점으로 인한 원격코드 실행 문제점(긴급, 971055)

o 설 명
Active Directory에 원격코드 실행 취약점이 존재하여 공격자는 취약한 시스템에 조작된 LDAP 또는 LDAPS 요청 패킷을 전송하여 해당 시스템에 대해 완전한 권한 획득이 가능하다.

* Active Directory : 사용자, 그룹, 보안 서비스, 네트워크 자원 등을 중앙에서 관리하는 기능을 제공
* LDAP(Lightweight Directory Access Protocol) : 인터넷 디렉토리를 연결, 검색, 수정하는데 사용하는 프로토콜
* LDAPS(LDAP over SSL) : SSL 채널을 이용하는 LDAP으로 암호화 통신시 사용

o 관련 취약점
  - Active Directory Invalid Free Vulnerability(CVE-2009-1138)
  - Active Directory Memory Leak Vulnerability(CVE-2009-1139)

o 영향 받는 소프트웨어
  - Active Directory on Microsoft Windows 2000 Server SP4
  - Active Directory Application Mode on Windows XP Professional SP2, SP3
  - Active Directory Application Mode on Windows XP Professional x64 Edition SP2
  - Active Directory on Windows Server 2003 SP2
  - Active Directory Application Mode on Windows Server 2003 SP2
  - Active Directory on Windows Server 2003 x64 Edition SP2
  - Active Directory Application Mode on Windows Server 2003 x64 Edition SP2
  - Active Directory on Windows Server 2003 SP2 for Itanium-based Systems

o 영향 받지 않는 소프트웨어
  - Active Directory on Windows Server 2008 for 32-bit Systems, SP2
  - Active Directory Lightweight Directory Service on Windows Server 2008 for 32-bit Systems, SP2
  - Active Directory on Windows Server 2008 for x64-based Systems, SP2
  - Active Directory Lightweight Directory Service on Windows Server 2008 for x64-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-018.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-018.mspx

2. Internet Explorer 누적 보안업데이트(긴급, 969897)

o 설 명
Internet Explorer에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용한 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Race Condition Cross-Domain Information Disclosure Vulnerability(CVE-2007-3091)
  - Cross-Domain Information Disclosure Vulnerability(CVE-2009-1140)
  - DHTML Object Memory Corruption(CVE-2009-1141)
  - HTML Object Memory Corruption(CVE-2009-1528)
  - Uninitialized Memory Corruption Vulnerability(CVE-2009-1529)
  - HTML Objects Memory Corruption Vulnerability(CVE-2009-1530)
  - HTML Object Memory Corruption Vulnerability(CVE-2009-1531)
  - HTML Object Memory Corruption Vulnerability(CVE-2009-1532)

o 영향 받는 소프트웨어
  - Internet Explorer 5.01 SP4 on Microsoft Windows 2000 SP4
  - Internet Explorer 6 SP1 on Microsoft Windows 2000 SP4
  - Internet Explorer 6 on Windows XP SP2, SP3
  - Internet Explorer 6 on Windows XP Professional x64 Edition SP2
  - Internet Explorer 6 on Windows Server 2003 SP2
  - Internet Explorer 6 on Windows Server 2003 x64 Edition SP2
  - Internet Explorer 6 on Windows Server 2003 SP2 for Itanium-based Systems
  - Internet Explorer 7 on Windows XP SP2, SP3
  - Internet Explorer 7 on Windows XP Professional x64 Edition SP2
  - Internet Explorer 7 on Windows Server 2003 SP2
  - Internet Explorer 7 on Windows Server 2003 x64 Edition SP2
  - Internet Explorer 7 on Windows Server 2003 SP2 for Itanium-based Systems
  - Internet Explorer 7 on Windows Vista, SP1, SP2
  - Internet Explorer 7 on Windows Vista x64 Edition, SP1, SP2
  - Internet Explorer 7 on Windows Server 2008 for 32-bit Systems, SP2
  - Internet Explorer 7 on Windows Server 2008 for x64-based Systems, SP2
  - Internet Explorer 7 on Windows Server 2008 for Itanium-based Systems, SP2
  - Internet Explorer 8 on Windows XP SP2, SP3
  - Internet Explorer 8 on Windows XP Professional x64 Edition SP2
  - Internet Explorer 8 on Windows Server 2003 SP2
  - Internet Explorer 8 on Windows Server 2003 x64 Edition SP2
  - Internet Explorer 8 on Windows Vista, SP1, SP2
  - Internet Explorer 8 on Windows Vista x64 Edition, SP1, SP2
  - Internet Explorer 8 on Windows Server 2008 for 32-bit Systems, SP2
  - Internet Explorer 8 on Windows Server 2008 for x64-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-019.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-019.mspx

3. IIS 취약점으로 인한 권한상승 문제점(중요, 970483)

o 설 명
IIS에 원격코드 실행 취약점이 존재하여 공격자는 악의적으로 조작된 HTTP 요청을 전송하여 취약한 시스템에 접근할 수 있는 권한을 얻을 수 있다.

*
IIS(Internet Information Services) : MS社에서 제공하는 웹서버 프로그램

o 관련 취약점
  - IIS 5.0 WebDAV Authentication Bypass Vulnerability(CVE-2009-1122)
  - IIS 5.1 and 6.0 WebDAV Authentication Bypass Vulnerability(CVE-2009-1535)

o 영향 받는 소프트웨어
  - Internet Information Services 5.0 on Microsoft Windows 2000 Server SP4
  - Internet Information Services 5.1 on Windows XP Professional SP2, SP3
  - Internet Information Services 6.0 on Windows XP Professional x64 Edition SP2
  - Internet Information Services 6.0 on Windows Server 2003 SP2
  - Internet Information Services 6.0 on Windows Server 2003 x64 Edition SP2
  - Internet Information Services 6.0 on Windows Server 2003 SP2 for Itanium-based Systems

o 영향 받지 않는 소프트웨어
  - Internet Information Services 7.0 on Windows Vista, SP1, SP2
  - Internet Information Services 7.0 on Windows Vista x64 Edition, SP1, SP2
  - Internet Information Services 7.0 on Windows Server 2008 for 32-bit Systems, SP2
  - Internet Information Services 7.0 on Windows Server 2008 for x64-based Systems, SP2
  - Internet Information Services 7.0 on Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-020.mspx

4. MS Office 엑셀 취약점으로 인한 원격코드실행 문제점(긴급, 969462)

o 설 명
MS Office 엑셀에서 비정상적인 레코드가 포함된 엑셀 파일을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 엑셀 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약 시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Record Pointer Corruption Vulnerability(CVE-2009-0549)
  - Object Record Corruption Vulnerability(CVE-2009-0557)
  - Array Indexing Memory Corruption Vulnerability(CVE-2009-0558)
  - String Copy Stack-Based Overrun Vulnerability(CVE-2009-0559)
  - Field Sanitization Memory Corruption Vulnerability(CVE-2009-0560)
  - Record Integer Overflow Vulnerability(CVE-2009-0561)
  - Record Pointer Corruption Vulnerability(CVE-2009-1134)

o 영향 받는 소프트웨어
  - Microsoft Office 2000 SP3
  - Microsoft Office XP SP3
  - Microsoft Office 2003 SP3
  - 2007 Microsoft Office System SP1, SP2
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - Open XML File Format Converter for Mac
  - Microsoft Office 엑셀 Viewer 2003 SP3
  - Microsoft Office 엑셀 Viewer
  - Microsoft Office Compatibility Pack for Word, 엑셀, and PowerPoint 2007 File Formats SP1, SP2
  - Microsoft Office SharePoint Server 2007 SP1, SP2 (32-bit editions)
  - Microsoft Office SharePoint Server 2007 SP1, SP2 (64-bit editions)

o 영향 받지 않는 소프트웨어
  - Microsoft Office Converter Pack
  - Works 8.5
  - Works 9

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-021.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-021.mspx

5. MS 윈도우 Print Spooler 취약점으로 인한 원격코드실행 문제점(긴급, 961501)

o 설 명
MS 윈도우의 Print Spooler에서 RPC 요청을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 네트워크 패킷을 전송하여 취약 시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Buffer Overflow in Print Spooler Vulnerability(CVE-2009-0228)
  - Print Spooler Read File Vulnerability(CVE-2009-0229)
  - Print Spooler Load Library Vulnerability(CVE-2009-0230)

o 영향 받는 소프트웨어
  - Microsoft Windows 2000 Server SP4
  - Windows XP Professional SP2, SP3
  - Windows XP Professional x64 Edition SP2
  - Windows Server 2003 SP2
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2003 SP2 for Itanium-based Systems
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-022.mspx

6. Windows Search 취약점으로 인한 정보유출 문제점(보통, 963093)

o 설 명
Windows Search 4.0의 파일 미리보기 기능에 취약점이 존재하여 공격자에 의해 악의적으로 제작된 HTML 파일이 검색 결과로 보여질 경우 취약한 시스템의 정보가 노출될 수 있다.

* Windows Search: PC에 저장되어 있는 문서 등 각종 파일을 검색하고 미리 볼 수 있도록 하는 기능을 제공

o 관련 취약점
  - Script Execution in Windows Search Vulnerability(CVE-2009-0239)

o 영향 받는 소프트웨어
  - Windows Search 4.0 on Windows XP SP2, SP3
  - Windows Search 4.0 on Windows XP Professional x64 Edition SP2
  - Windows Search 4.0 on Windows Server 2003 SP2
  - Windows Search 4.0 on Windows Server 2003 x64 Edition SP2

o 영향 받지 않는 소프트웨어
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-023.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-023.mspx

7. MS Works 변환기 취약점으로 인한 원격코드실행 문제점(긴급, 957632)

o 설 명
MS Works 변환기에서 Works(.WPS) 파일을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 Works 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약 시스템에 대해 완전한 권한 획득이 가능하다.

* MS Works : MS Office에 포함된 문서 작성 프로그램(국내 未출시)

o 관련 취약점
  - File Converter Buffer Overflow Vulnerability(CVE-2009-1533)

o 영향 받는 소프트웨어
  - Microsoft Office Word 2000 SP3
  - Microsoft Office Word 2002 SP3
  - Microsoft Office Word 2003 SP3 with the Microsoft Works 6?9 File Converter
  - Microsoft Office Word 2007 SP1
  - Microsoft Works 8.5
  - Microsoft Works 9

o 영향 받지 않는 소프트웨어
  - Microsoft Office 2007 SP2
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - Open XML File Format Converter for Mac
  - Microsoft Office Word Viewer 2003 SP3
  - Microsoft Office Word Viewer SP1, SP2
  - Microsoft Office Compatibility Pack SP1, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-024.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-024.mspx

8. 윈도우 커널 취약점으로 인한 권한상승 문제점(중요, 968537)

o 설 명
윈도우 커널에서 입력값을 검증하는 과정 등에 권한상승 취약점이 존재하여 해당 취약점 공격에 성공한 공격자는 취약한 시스템의 커널 모드에서 악성코드 등 임의의 코드를 실행시킬 수 있다.

o 관련 취약점
  - Windows Kernel Desktop Vulnerability(CVE-2009-1123)
  - Windows Kernel Pointer Validation Vulnerability(CVE-2009-1124)
  - Windows Driver Class Registration Vulnerability(CVE-2009-1125)
  - Windows Desktop Parameter Edit Vulnerability(CVE-2009-1126)

o 영향 받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Windows XP SP2, SP3
  - Windows XP Professional x64 Edition SP2
  - Windows Server 2003 SP2
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2003 for Itanium-based Systems SP2
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-025.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-025.mspx

9. RPC 취약점으로 인한 권한상승 문제점(중요, 970238)

o 설 명
MS 윈도우의 RPC에서 내부 상태 정보를 업데이트하는 과정에 권한상승 취약점이 존재하여 해당 취약점 공격에 성공한 공격자는 악성코드 등을 실행시켜 취약한 시스템에 대해 완전한 권한획득이 가능하다.

* RPC(Remote Procedure Call) : 네트워크상의 다른 시스템에 있는 프로그램에 서비스를 요청할 때 사용하는 프로토콜

o 관련 취약점
  - RPC Marshalling Engine Vulnerability(CVE-2009-0568)

o 영향 받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Windows XP SP2, SP3
  - Windows XP Professional x64 Edition SP2
  - Windows Server 2003 SP2
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2003 for Itanium-based Systems SP2
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-026.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-026.mspx

10. MS Office 워드 취약점으로 인한 원격코드실행 문제점(긴급, 969514)

o 설 명
MS 워드에서 워드 문서를 열람하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 워드 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Word Buffer Overflow Vulnerability(CVE-2009-0563)
  - Word Buffer Overflow Vulnerability(CVE-2009-0565)

o 영향 받는 소프트웨어
  - Microsoft Office Word 2000 SP3
  - Microsoft Office Word 2002 SP3
  - Microsoft Office Word 2003 SP3
  - Microsoft Office Word 2007 SP1, SP2
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - Open XML File Format Converter for Mac
  - Microsoft Office Word Viewer 2003 SP3
  - Microsoft Office Word Viewer
  - Microsoft Office Compatibility Pack SP1, SP2

o 영향 받지 않는 소프트웨어
  - Microsoft Works 8.5
  - Microsoft Works 9

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-027.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-027.mspx


■ 참고정보
Microsoft Update
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko


출처 : 국가사이버안전센터

Trackback 0 Comment 0