마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2012년 8월 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Exchange Server, SQL Server, Server Software, Developer Tools, Office 제품군에서 발견된 27건의 보안 취약점 문제를 해결한 9개의 보안 패치가 포함 되었습니다.
▷ <Microsoft> 2012년 8월 Microsoft 보안 공지 요약 (2012.8.15)
이번 업데이트에서 이슈가 되는 패치는 Internet Explorer 웹 브라우저 제품에서 발견된 다중 취약점으로 인한 원격 코드 실행 문제가 MS12-052 패치를 통해 해결되었으며, Windows 공용 컨트롤(MSCOMCTL.OCX)의 RCE 취약점(CVE-2012-1856)을 이용한 원격 코드 실행이 가능한 실제로 제한적이고 지속적인 공격이 있었던 것으로 알려진 문제에 대해 MS12-060 패치를 통해 해결이 되었습니다.
참고로 이번에 사용된 제로데이(0-Day) CVE-2012-1856 취약점과 관련된 공개된 PoC 코드는 현재 확인된 정보가 없는 것으로 알려져 있습니다.
그 외에 2012년 7월 업데이트에 포함되었던 제로데이(0-Day) 취약점 문제를 해결한 MS12-043(Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제) 패치에서는 Microsoft XML Core Services 3.0, 4.0, 6.0 버전에 대한 패치였으며, 이번 추가 업데이트를 통해 Microsoft XML Core Services 5.0 버전 패치가 릴리즈 되었습니다.
▷ Security Advisory 2661254 : Update For Minimum Certificate Key Length
또한 윈도우 인증서 취약점을 이용한 국가 차원의 악성코드 유포와 관련하여 마이크로소프트(Microsoft)에서는 최소 인증서 암호키(RSA) 길이를 1,024 비트 이상으로 변경하였으며, 최종적으로 2012년 10월에 윈도우 업데이트를 통해 배포할 예정이라고 밝히고 있습니다.
2012년 8월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에는 Win32/Bafruz, Win32/Matsnu 2종의 진단이 추가되었습니다.
- Win32/Bafruz : 해당 악성코드는 감염된 PC에 P2P 네트워크를 구성하여 C&C 서버로 활용하는 다중 구성 백도어이며, 유명 보안 제품의 삭제를 통해 무력화 시키는 동작이 존재합니다. 이를 통해 공격자는 DDoS 공격, Bitcoin mining 실행, 악성 파일 다운로드 등 다양한 악의적인 기능을 수행합니다.
- Win32/Matsnu : 해당 악성코드는 원격 서버로부터 명령을 받으며, 레지스트리 편집기 및 Windows 작업 관리자의 실행 방해와 시스템 파일 삭제를 통해 PC 설정을 변경합니다.
1. MS12-052 : Internet Explorer 누적 보안 업데이트(2722913) - 긴급
■ CVE-2012-1526 : 레이아웃 메모리 손상 취약점
■ CVE-2012-2521 : 비동기 NULL 개체 액세스 원격 코드 실행 취약점
■ CVE-2012-2522 : 가상 함수 테이블 손상 원격 코드 실행 취약점
■ CVE-2012-2523 : JavaScript 정수 오버플로 원격 코드 실행 취약점
이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 4건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
2. MS12-053 : 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점(2723135) - 긴급
■ CVE-2012-2526 : 원격 데스크톱 프로토콜 취약점
이 보안 업데이트는 원격 데스크톱 프로토콜의 비공개적으로 보고된 취약점을 해결합니다. 공격자가 영향을 받는 시스템에 특수하게 조작된 일련의 RDP 패킷을 보낼 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 기본적으로 RDP(원격 데스크톱 프로토콜)은 모든 Windows 운영 체제에서 사용되도록 설정되어 있지는 않습니다. RDP가 사용 가능하지 않는 시스템은 취약하지 않습니다.
3. MS12-054 : Windows Networking Components의 취약점으로 인한 원격 코드 실행 문제점(2733594) - 긴급
■ CVE-2012-1850 : 원격 관리 프로토콜 서비스 거부 취약점
■ CVE-2012-1851 : 인쇄 스풀러 서비스 형식 문자열 취약점
■ CVE-2012-1852 : 원격 관리 프로토콜 힙 오버플로 취약점
■ CVE-2012-1853 : 원격 관리 프로토콜 스택 오버플로 취약점
이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 4건을 해결합니다. 이 중 가장 심각한 취약점으로 인해 공격자가 특수하게 조작된 응답을 Windows 인쇄 스풀러 요청에 전송할 경우 원격 코드 실행이 허용될 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 직접 연결되는 시스템의 경우 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.
4. MS12-055 : Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점(2731847) - 중요
■ CVE-2012-2527 : Win32k 해제 후 사용 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.
5. MS12-056 : JScript 및 VBScript 엔진의 취약점으로 인한 원격 코드 실행 취약점(2706045) - 중요
■ CVE-2012-2523 : JavaScript 정수 오버플로 원격 코드 실행 취약점
이 보안 업데이트는 64비트 버전 Microsoft Windows에서 실행되는 JScript 및 VBScript 스크립팅 엔진의 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 공격자는 강제로 사용자가 웹 사이트를 방문하도록 할 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.
6. MS12-057 : Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2731879) - 중요
■ CVE-2012-2524 : CGM 파일 형식 메모리 손상 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 파일을 열거나 특수하게 조작된 CGM(Computer Graphics Metafile) 그래픽 파일을 Office 파일에 포함하는 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
7. MS12-058 : Microsoft Exchange Server WebReady 문서 보기가 원격 코드 실행을 허용할 수 있는 취약점(2740358) - 긴급
■ CVE-2012-1766, CVE-2012-1767, CVE-2012-1768, CVE-2012-1769, CVE-2012-1770, CVE-2012-1771, CVE-2012-1772, CVE-2012-1773, CVE-2012-3106, CVE-2012-3107, CVE-2012-3108, CVE-2012-3109, CVE-2012-3110 : 악용 가능한 여러 취약점이 Oracle Outside In에 포함되어 있음
이 보안 업데이트는 Microsoft Exchange Server WebReady 문서 보기의 공개된 취약점을 해결합니다. 이 취약점은 사용자가 OWA(Outlook Web App)를 사용하여 특수하게 조작된 파일을 미리보는 경우 Exchange 서버에 있는 코드 변환 서비스의 보안 컨텍스트에서 원격 코드를 실행하도록 허용할 수 있습니다. WebReady 문서 보기에 사용되는 Exchange에 있는 코드 변환 서비스는 LocalService 계정에서 실행되고 있습니다. LocalService 계정에는 로컬 컴퓨터의 최소 권한이 있으며 네트워크에서 익명 자격 증명을 제시합니다.
8. MS12-059 : Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점(2733918) - 중요
■ CVE-2012-1888 : Visio DXF 파일 형식 버퍼 오버플로 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 Visio 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
9. MS12-060 : Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점(2720573) - 긴급
■ CVE-2012-1856 : MSCOMCTL.OCX RCE 취약점
이 보안 업데이트는 Windows 공용 컨트롤의 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 취약점을 악용하도록 설계된 특수하게 조작된 콘텐츠가 포함된 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다. 악성 파일은 전자 메일 첨부 파일로도 전송될 수 있지만 공격자가 이 취약점을 악용하려면 사용자가 첨부 파일을 열도록 유도해야 합니다.
이 외에 Windows 7 운영 체제에서는 다음과 같은 제품 안정성 업데이트가 포함되어 있습니다.
- Windows 7용 업데이트(KB2647753) : Description of an update rollup for the printing core components in Windows 7 and in Windows Server 2008 R2
- Windows 7용 업데이트(KB2729094) : An update for the Segoe UI symbol font in Windows 7 and in Windows Server 2008 R2 is available
- Windows 7용 업데이트(KB2732487) : "0x0000000a" Stop error code when you resume a Windows 7-based computer from sleep or from hibernation
- Windows 7용 업데이트(KB2732500) : "E_UNEXPECTED 0x8000ffff" error when you try to restore a system by using System Recovery Options in Windows 7
그러므로 윈도우 사용자는 반드시 윈도우 업데이트 기능을 이용하여 자동 또는 수동으로 최신 업데이트를 체크하여 제공되는 패치를 모두 설치하시고 컴퓨터를 이용하시기 바랍니다.