A3AID06-16
Micorsoft Office Word(hlink) Local 버퍼 오버플로우 취약점 보안 권고안
권고문 작성일 : 2006. 8. 2
취약점 발표일 : 2006. 6. 19 (공격코드 발표: 06. 7. 9)
위험등급: 상
현재 상태(패치 여부) : 미패치
벤더: Microsoft
대상 시스템 :
해당 취약점에 영향을 받는 시스템 목록은 아래와 같으며, 영문 버전 및 한글 버전에서도 악성 코드 실행 취약점이 확인 되었다.
- Microsoft Office Word 2000 on Windows 2000 SP4
- Microsoft Office Word XP SP1 on Windows 2000 SP4
- Microsoft Office Word XP SP2 on Windows 2000 SP4
- Microsoft Office Word XP SP3 on Windows 2000 SP4
- Microsoft Office Word XP SP3 on Windows XP SP1
- Microsoft Office Word XP SP3 on Windows XP SP2
- Microsoft Office Hyperlink 라이브러리를 사용하는 Word 버전
취약점 개요:
2006년 6월 19일, Microsoft Office Word에서 하이퍼링크(Hyperlink)를 처리하는 hlink.dll 라이브러리에서 stack overflow 취약점이 존재하는 것을 확인 하였으며 7월 9일 해당 취약점을 이용하여 MS Word 를 공격하는 코드가 공개되었다. Microsoft Hyperlink Library(hlink.dll)은 하이퍼링크의 기본 동작인 하이퍼링크를 만들고, 바인딩하고, 이동하는 작업을 처리하기 위한 공통 프레임워크로 Microsoft Office 응용 프로그램에서 사용한다.
이 취약점은 Microsoft사에서 공식적인 패치를 내 놓지 않은 일명 제로데이 취약점으로 공격코드가 공개된 상태이며, Microsoft Office 응용 프로그램에서 Hyperlink 취약점이 보고 되어 있다. 또한 현재 Symantec 사의 발표에 의하면 해당 취약점을 이용하여 악성프로그램을 설치하는 Malware가 발견된 상태이다.
본 보안 권고는 Microsoft Office 응용 프로그램 중에서 Word 프로그램을 대상으로 분석하였다.
취약점 세부 분석 :
(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)
대응 방안:
Microsoft는 해당 취약점에 대한 HOT-FIX를 제공하고 있지 않기 때문에 다음과 같은 임시 대응책을 사용하길 권고한다.
- 인터넷 및 전자우편으로 통해 전달받은 Excel 문서는 가급적 열람해서는 안되며, 열람할 경우에 확인되지 않는 하이퍼링크는 클릭해서는 안된다.
- 안티바이러스 솔루션 업체에서 해당 취약점을 이용한 악성 코드 공격 대한 점검 룰이 업데이트 되었는지 확인하고, 악성 코드 공격에 대해서 실시간 대응을 하도록 한다.
관련 사이트 :
http://www.frsirt.com/english/virus/2006/04766
http://www.governmentsecurity.org/forum/index.php?s=33783e3f7d87666eb8f70811b08f746d&showtopic=22203&pid=159077&st=0&#entry159077
http://lists.grok.org.uk/pipermail/full-disclosure/2006-July/047749.html
http://www.symantec.com/security_response/writeup.jsp?docid=2006-062315-3427-99
Copyright(c) 1998-2006 A3 Security Consulting.,LTD
Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.
