■ 개 요
MS사의 '워드패드'에서 워드 97 파일을 처리하는 과정에 원격코드 실행이 가능한 취약점이 발표됨에 따라 각급기관은 해당 취약점을 악용한 제로데이 공격에 대비하여 아래의 임시 대응책을 조속히 수행하시기 바랍니다.
* 본 취약점에 대한 MS사의 공식 보안패치가 발표되지 않았으며 해당 취약점을 악용한 악성코드가 유포되고 있으므로 사용자의 주의를 요함

 


■ 취약점 내용

o 설 명
'워드패드'에서 워드 97 파일을 처리하는 과정에 원격코드 실행이 가능한 취약점이 존재하여 공격자는 조작된 워드 97 파일을 제작하여 악의적인 웹페이지에 게시하거나 이메일 첨부파일로 전송, 해당 문서를 열람한 사용자 PC에 악성코드 등을 설치하여 취약한 시스템을 완전히 장악할 수 있다. (CVE-2008-4841)
* 워드 97 파일: DOC, WRI, RTF 확장자를 가진 파일
o 영향받는 시스템
  - 윈도우 XP 서비스팩 3, 윈도우 비스타, 윈도우 서버 2008을 제외한 모든 윈도우 운영체제
■ 대응방법
o 개인사용자

  1. 윈도우 XP 사용자 : '서비스팩 3' 설치 (권장)
  2. 윈도우 XP를 제외한 다른 윈도우를 이용하는 사용자 : 워드 97 파일이 '워드패드'에서 열람되지 않도록 윈도우의 설정을 아래와 같이 임시로 변경
     [워드 97 파일 포맷을 위한 워드패드 텍스트 컨버터 비활성화]
     1. '시작' 버튼 클릭 
     2. '실행' 버튼 클릭
     3. '열기' 창에 'cmd' 입력
     4. cmd 창에 'echo y| cacls "%ProgramFiles%Windows NTAccessoriesmswrd8.wpc" /E /P everyone:N' 입력 후 엔터
  * 상기 대응책은 해당 취약점에 대한 모든 공격을 차단할 수 없으므로 아래 사항을 준수하여 PC 보안관리를 강화한다. 
    1. 의심스러운 사이트 방문 자제 
    2. 출처가 불분명한 이메일 열람 금지   
    3. 특히, 워드 97 파일(DOC, WRI, RTF 확장자)이 첨부된 수상한 이메일을 수신했을 경우, 절대 열람하지 말고 각급기관 보안담당자 또는 국가사이버안전센터 홈페이지를 통해 즉시 신고(센터 홈페이지→사이버상담→사이버위협정보신고 참고) 
    4. 백신 소프트웨어를 최신버전으로 유지하고 실시간 감시기능 사용


o 각급기관 보안담당자

   1. 동 보안권고문을 해당 기관내에 배포, 임시대응책을 신속히 적용토록 권고
   2. MS사의 공식 보안패치가 발표될 때까지, 각급기관에서 운영 중인 이메일시스템에서 이메일 첨부파일이 WRI, RTF 등 확장자를 가진 경우 차단되도록 설정
   3. 워드 97 파일이 첨부된 의심스러운 이메일 유입시 안전센터에 즉시 신고