이번 업데이트에서는 2010년 7월경에 공개된 Windows 취약점을 이용한 Stuxnet 악성코드 유포와 관련된 추가적인 보안 업데이트가 포함되어 있습니다.
- Windows 제로데이 취약점 : Microsoft Security Advisory (2286198) - Vulnerability in Windows Shell Could Allow Remote Code Execution (2010.7.17)
- Microsoft Windows 긴급 보안 업데이트 : MS10-046 (2010.8.3)
Stuxnet 악성코드가 발견될 당시 AutoRun 방식의 LNK 취약점(CVE-2010-2568)을 이용한 유포로 소개되었으며, 해당 악성코드의 세부적인 분석이 현재 진행 중인 과정에서 추가적으로 총 5가지의 취약점을 이용하고 있다는 사실이 알려지게 되었습니다.
① CVE-2010-2568 취약점을 이용한 USB를 통한 감염을 유발시키는 방식으로 MS10-046 보안 패치 공개 ② Print Spooler Service 취약점을 이용한 사내 네트워크를 통한 유포 방식으로 MS10-061 보안 패치 공개 ③ 2008년에 공개된 RPC 취약점(CVE-2008-4250)을 이용한 방식으로 MS08-067 보안 패치 공개 이외에 여전히 보안 패치가 공개되지 않은 2건의 권한 상승(Elevation of Privilege(EoP))을 유발하는 취약점을 이용하고 있다고 합니다.
참고로 해결되지 않은 2건의 보안 패치는 차후 분석을 통해 보안 패치를 공개할 예정이라고 합니다.
해당 악성코드는 Simatic WinCC SCADA 시스템을 표적으로 유효한 Realtek, JMicron 인증서를 사용하는 방식으로 유포가 이루어졌으며, 해당 시스템의 알려지지 않은 취약점에 대해 상당한 지식을 갖춘 조직으로 추정됩니다.
1. MS10-061 : 인쇄 스풀러 서비스의 취약점으로 인한 원격 코드 실행 문제점(2347290) - 긴급
이 보안 업데이트는 일반에 공개된 인쇄 스풀러 서비스의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 RPC를 통해 인쇄 스풀러 인터페이스가 노출된 취약한 시스템으로 특수하게 조작된 인쇄 요청을 보낼 경우 원격 코드 실행이 허용될 수 있습니다. 기본적으로 프린터는 현재 지원되는 어떤 Windows 운영 체제에서도 공유되지 않습니다.
2. MS10-062 : MPEG-4 코덱의 취약점으로 인한 원격 코드 실행 문제점(975558) - 긴급
이 보안 업데이트는 비공개적으로 보고된 MPEG-4 코덱의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 미디어 파일을 열거나, 웹 사이트 또는 웹 콘텐츠를 제공하는 응용 프로그램으로부터 특수하게 조작된 스트리밍 콘텐츠를 받을 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
3. MS10-063 : Unicode Scripts Processor의 취약점으로 인한 원격 코드 실행 문제점(2320113) - 긴급
이 보안 업데이트는 비공개적으로 보고된 Unicode Scripts Processor의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 포함된 OpenType 글꼴을 지원하는 응용 프로그램을 사용하여 특수하게 조작된 문서나 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
4. MS10-064 : Microsoft Outlook의 취약점으로 인한 원격 코드 실행 문제점(2315011) - 긴급
이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 사용자가 온라인 모드에서 Exchange 서버에 연결된 영향 받는 Microsoft Outlook 버전을 사용하여 특수하게 조작된 전자 메일 메시지를 열거나 미리 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
5. MS10-065 : Microsoft IIS(인터넷 정보 서비스)의 취약점으로 인한 원격 코드 실행 문제점(2267960) - 중요
이 보안 업데이트는 IIS(인터넷 정보 서비스)에 대해 비공개적으로 보고된 취약점 2건과 공개된 취약점 1건을 해결합니다. 이 중 가장 심각한 취약점으로 인해 클라이언트가 특수하게 조작된 HTTP 요청을 서버로 전송할 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.
6. MS10-066 : 원격 프로시저 호출의 취약점으로 인한 원격 코드 실행 문제점(982802) - 중요
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에 대해 중요입니다. 지원 대상인 모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.
이 취약점으로 인해 공격자가 특수하게 조작된 RPC 응답을 클라이언트가 시작한 RPC 요청에 보낼 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 시스템을 완전히 제어할 수 있습니다. 공격자는 사용자가 공격자에 의해 제어되는 악의적인 서버로의 RPC 연결을 시작하도록 유도해야 합니다. 공격자는 사용자 조작 없이 이 취약점을 원격으로 악용할 수 없습니다.
7. MS10-067 : 워드패드 텍스트 변환기의 취약점으로 인한 원격 코드 실행 문제점(2259922) - 중요
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에 대해 중요입니다. 지원 대상인 모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.
이러한 취약점으로 인해 사용자가 WordPad를 사용하여 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
8. MS10-068 : 로컬 보안 기관 하위 시스템 서비스의 취약점으로 인한 권한 상승 문제점(983539) - 중요
이 보안 업데이트는 Active Directory, ADAM(Active Directory Application Mode) 및 ADLDS(Active Directory Lightweight Directory Service)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 인증된 공격자가 특수하게 조작된 LDAP(Lightweight Directory Access Protocol) 메시지를 수신하는 LSASS 서버에 보낼 경우 권한 상승이 허용될 수 있습니다. 공격자가 이 취약점을 성공적으로 악용하려면 대상 Windows 도메인 내의 구성원 계정이 있어야 합니다. 그러나 Windows 도메인에 참가한 워크스테이션이 있어야 할 필요는 없습니다.
9. MS10-069 : Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점(2121546) - 중요
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP 및 Windows Server 2003 에디션에 대해 중요입니다. 지원 대상인 모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.
이 취약점으로 인해 공격자가 중국어, 일본어 또는 한국어 시스템 로캘로 구성된 영향 받는 시스템에 로그온할 때 권한 상승이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 프로그램을 설치하거나 데이터를 보고 변경하거나 삭제하고 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.
MS10-062 보안 패치의 경우 악의적으로 조작된 MPEG-4 코덱을 이용한 동영상을 인터넷 상에서 열었을 경우 권한을 취득할 수 있는 문제가 있으므로 시스템을 안전하게 보호하기 위해서는 반드시 보안 패치를 모두 설치하시기 바랍니다.
[관련글 보기]
2008/01/29 - [벌새::Security] - 윈도우 정기 보안 업데이트