마이크로소프트(Microsoft)사에서 매월 제공하는 2011년 9월 정기 보안 업데이트가 공개되었습니다.

이번 업데이트에서는 Microsoft Windows, Microsoft Office 제품군에서 발견된 15건의 취약점에 대한 5개의 보안 패치를 추가하였습니다.

이번 업데이트에서는 DigiNotar 디지털 인증서 해킹과 관련하여 KB2607712 보안 패치를 통해 문제를 해결한 부분에 대한 "Windows 7 업데이트(KB2616676)"를 통해 추가적으로 허위 디지털 인증서 목록을 추가하였으며, Windows 시스템에 인증서 해지 목록을 업데이트할 필요없이 시스템 인증서 목록이 최신 상태로 유지되도록 변경하였습니다.

해당 이슈와 관련하여 최종적으로 해지가 완료된 디지털 인증서 목록은 다음과 같습니다.

  1. DigiNotar Root CA
  2. DigiNotar Root CA G2
  3. DigiNotar PKIoverheid CA Overheid
  4. DigiNotar PKIoverheid CA Organisatie - G2
  5. DigiNotar PKIoverheid CA Overheid en Bedrijven
  6. DigiNotar Root CA Issued by Entrust (2 certificates)
  7. DigiNotar Services 1024 CA Issued by Entrust
  8. Diginotar Cyber CA Issued by GTE CyberTrust (3 certificates)

 2011년 9월 Microsoft Windows 악성 소프트웨어 제거 도구(MRT)에서는 2009년 9월 최초로 발견된 Win32/Bamital 악성코드에 대한 진단을 추가하였습니다.

해당 악성코드는 AltaVista, Bing, Google, Yahoo와 같은 검색 엔진에 의해 실행되는 쿼리값 수정 및 가로채기를 할 수 있으며, 호스트(Host) 파일 수정을 통해 보안 관련 웹 사이트 접속을 방해하며 Windows 관련 파일들을 수정한다.(※ 국내 보안 업체 중에서는 ahnlab.com, nprotect.com 사이트 접속을 방해하고 있습니다.)

악성코드 감염 정보를 살펴보면 TrojanDropper:Win32/Bamital.D (Microsoft)에 의하여 드랍(Drop)되며, 실행된 spoolsv.exe 파일은 사용자가 실행하는 iexplore.exe, firefox.exe, opera.exe와 같은 웹 브라우저 프로세스에 삽입되어 동작합니다.

또한 explorer.exe, winlogon.exe 시스템 파일을 수정하고 원본 파일은 C:\Windows\temp 폴더에 explorer.dat, winlogon.dat로 백업을 하며, 수정된 시스템 파일은 다양한 악성 dll 파일을 로드하는 기능을 합니다.

1. MS11-070 : WINS의 취약점으로 인한 권한 상승 문제점(2571621) - 중요


이 보안 업데이트는 비공개적으로 보고된 WINS(Windows Internet Name Service)의 취약점 1건을 해결합니다. 이러한 취약점은 사용자가 WINS 서비스가 실행되는 영향 받은 시스템에서 특수하게 조작된 WINS 복제 패킷을 수신할 경우에 권한이 상승되도록 합니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

2. MS11-071 : Windows Components의 취약점으로 인한 원격 코드 실행 문제점(2570947) - 중요


이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 서식 있는 텍스트 형식 파일(.rtf), 텍스트 파일(.txt) 또는 Word 문서(.doc)를 열 경우 원격 코드가 실행될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

3. MS11-072 : Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점(2587505) - 중요


이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 5건을 해결합니다. 사용자가 특수하게 조작된 Excel 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 의심되는 파일을 열지 못하도록 Office 파일 유효성 검사(OFV)를 설치하고 구성하면 CVE-2011-1986 및 CVE-2011-1987에 설명된 취약점을 악용하는 공격 경로가 차단됩니다.

4. MS11-073 : Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2587634) - 중요


이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 Office 파일을 열거나 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Office 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

5. MS11-074 : Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점(2451858) - 중요


이 보안 업데이트는 Microsoft SharePoint 및 Windows SharePoint Services에서 발견되어 공개적으로 보고된 취약점 5건과 비공개적으로 보고된 취약점 1건을 해결합니다. 대부분의 심각한 취약점으로 인해 사용자가 특수하게 조작된 URL을 클릭하거나 특수하게 조작된 웹 사이트를 방문할 경우 권한 상승 문제가 발생할 수 있습니다. 대부분의 심각한 취약점의 경우 인터넷 영역에서 SharePoint 사이트를 검색하는 Internet Explorer 8 및 Internet Explorer 9 사용자는 기본적으로 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터가 인터넷 영역의 공격을 차단하는 데 도움을 주기 때문에 위험이 덜합니다. 그러나 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터는 인트라넷 영역에서는 기본적으로 사용되지 않습니다.

매월 정기적으로 발표되는 마이크로소프트 보안 패치는 인터넷 공간에서 이루어지는 악의적인 공격으로부터 근본적인 방어를 할 수 있는 방법이므로, Windows OS 환경을 사용하시는 분들은 반드시 업데이트를 체크하여 제공되는 모든 패치를 설치하시기를 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..