마이크로소프트(Microsoft) 업체에서 Windows Update 기능을 통해 매월 정기적으로 제공하는 2014년 10월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft .NET Framework, Microsoft 개발자 도구, Microsoft Office, Microsoft Office Services, Microsoft Office Web Apps 제품에서 발견된 24건의 보안 취약점에 대한 8개의 보안 패치가 포함되어 있습니다.
우선 Windows 7, Windows Server 2008 R2 운영 체제에서 이번 보안 업데이트 중 "Windows 7용 보안 업데이트(KB2949927)" 보안 패치를 설치할 경우 안랩(AhnLab) 제품의 업데이트 및 프로그램 동작에 문제가 발생하므로 주의가 요구되고 있습니다. (※ 개인적인 테스트 환경에서는 보안 패치 제거없이 수동 업데이트가 가능한 것으로 판단됩니다.)
■ 제로데이(0-Day) 취약점 관련 이슈
(1) CVE-2014-4123 : Internet Explorer 권한 상승 취약점
사용자가 Internet Explorer 웹 브라우저를 이용하여 악의적으로 조작된 웹 사이트를 방문할 경우 IE 샌드박스 우회를 통한 권한 상승 취약점을 이용한 제한적인 공격이 확인되었으며 MS14-056 보안 패치를 통해 문제를 해결하였습니다.
(2) 커널 모드 드라이버 취약점
- CVE-2014-4113 : Win32k.sys 권한 상승 취약점
- CVE-2014-4148 : TrueType 글꼴 구문 분석 원격 코드 실행 취약점
사용자가 악의적으로 조작된 MS Office 문서 또는 웹 브라우저를 통해 악성 폰트(Font)를 로딩하여 원격 코드를 실행할 수 있는 취약점을 이용한 제한적인 공격이 확인되었으며 MS14-058 보안 패치를 통해 문제를 해결하였습니다.
(3) CVE-2014-4114 : Windows OLE 원격 코드 실행 취약점
러시아(Russia) 해커 조직이 Microsoft Windows, Windows Server 2008 / 2012 버전에서 유효한 CVE-2014-4114 제로데이(0-Day) 보안 취약점을 이용하여 북대서양 조양 기구(NATO), 유럽 공동체(EU), 우크라이나(Ukraine) 정부, 프랑스 통신사, 폴란드에 위치한 에너지 기업, 미국 연구 기관 등을 대상으로 이메일에 첨부된 MS Word 문서 파일(.doc), 파워포인트 슬라이드 문서 파일(spiski_deputatov_done.ppsx)을 실행할 경우 내부에 임베이드되어 있는 OLE 객체를 통해 특정 서버에 존재하는 감염에 필요한 구성 파일(slides.inf)을 다운로드하여 감염이 이루어지는 "SandWorm"으로 불리우는 첩보 활동을 확인하여 MS14-060 보안 패치를 통해 문제를 해결하였습니다.
■ Windows 8, Windows 8.1 운영 체제를 위한 Adobe Flash Player 플러그인 업데이트 정보
Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전 웹 브라우저에 자체 내장된 Adobe Flash Player 플러그인에서 발견된 3건의 보안 취약점에 대해 "Adobe Flash Player 15.0.0.167 버전 → Adobe Flash Player 15.0.0.189 버전"으로 Windows Update 자동 업데이트 기능(KB3001237)을 통해 패치가 이루어졌습니다.
■ 2014년 10월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830
2014년 10월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 전 세계의 다양한 정부 기관, 기업 등을 대상으로 한 산업 스파이 및 국가 차원에서 지원하는 해킹 조직을 통해 이루어지는 APT 공격에 사용되는 Win32/Hikiti 악성코드 진단이 추가되었습니다.
대표적인 감염 방식은 Internet Explorer 웹 브라우저의 CVE-2013-3893 취약점(Exploit)을 통해 Win32/Hikiti 악성코드 감염이 이루어질 수 있으며 성공적으로 감염이 이루어진 후에는 원격 서버로부터 추가적인 Win32/Derusbi, Win32/Mdmbot, Win32/Moudoor, Win32/Plugx, Win32/Sensode 악성코드 다운로드가 이루어지며 감염된 PC에서 민감한 정보를 수집하여 외부로 유출할 수 있다.
■ 2014년 10월 Microsoft 정기 보안 업데이트 세부 정보
1. MS14-056 : Internet Explorer 누적 보안 업데이트(2987107) - 긴급
- CVE-2014-4123, CVE-2014-4124 : Internet Explorer 권한 상승 취약점
- CVE-2014-4126, CVE-2014-4127, CVE-2014-4128, CVE-2014-4129, CVE-2014-4130, CVE-2014-4132, CVE-2014-4133, CVE-2014-4134, CVE-2014-4137, CVE-2014-4138, CVE-2014-4141 : Internet Explorer 메모리 손상 취약점
- CVE-2014-4140 : Internet Explorer ASLR 우회 취약점
이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 14건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.
2. MS14-057 : .NET Framework의 취약점으로 인한 원격 코드 실행 문제점(3000414) - 긴급
- CVE-2014-4073 : .NET ClickOnce 권한 상승 취약점
- CVE-2014-4121 : .NET Framework 원격 코드 실행 취약점
- CVE-2014-4122 : .NET ASLR 취약점
이 보안 업데이트는 Microsoft .NET Framework에서 발견되어 비공개적으로 보고된 취약점 3건을 해결합니다. 공격자가 .NET 웹 응용 프로그램에 국제 문자가 포함된 특수하게 조작된 URI 요청을 보낼 경우 가장 심각한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. .NET 4.0 응용 프로그램에서 취약한 기능(iriParsing)은 기본적으로 비활성화됩니다. 취약점이 악용될 수 있기 때문에 응용 프로그램은 명시적으로 이 기능을 사용합니다. .NET 4.5 응용 프로그램에서 iriParsing은 기본적으로 활성화되어 있으며 비활성화할 수 없습니다.
특히 "CVE-2014-4073 : .NET ClickOnce 권한 상승 취약점"에 대한 추가적인 정보가 공개되어 있으므로 참고하시기 바랍니다.
3. MS14-058 : 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점(3000061) - 긴급
- CVE-2014-4113 : Win32k.sys 권한 상승 취약점
- CVE-2014-4148 : TrueType 글꼴 구문 분석 원격 코드 실행 취약점
이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 공격자가 사용자에게 특수하게 조작된 문서를 열도록 유도하거나 포함된 TrueType 글꼴을 포함하는 신뢰할 수 없는 웹 사이트를 방문하도록 유도할 경우 가장 심각한 취약점은 원격 코드 실행을 허용할 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 작업을 수행하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭하여 공격자가 파일을 열도록 유도합니다.
4. MS14-059 : ASP.NET MVC의 취약점으로 인한 보안 기능 우회(2990942) - 중요
- CVE-2014-4075 : MVC XSS 취약점
이 보안 업데이트는 ASP.NET MVC의 공개된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 사용자를 특수하게 조작된 링크를 클릭하도록 유도하거나 취약점을 악용하기 위해 설계하여 특수하게 조작된 콘텐츠가 포함된 웹 페이지를 방문하도록 유도하면 보안 기능 우회가 허용될 수 있습니다. 웹 기반 공격의 경우 공격자는 웹 브라우저를 통해 이 취약점을 악용하도록 설계하여 특수하게 조작된 웹 사이트를 호스팅한 다음 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 공격자는 사용자가 제공한 콘텐츠가 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트를 이용할 수도 있습니다. 이러한 웹 사이트에 이 취약점을 악용하는 특수하게 조작된 콘텐츠가 포함될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 공격자 제어 콘텐츠를 보도록 만들 수는 없습니다. 대신 공격자는 사용자가 공격자의 웹 사이트에 연결되는 전자 메일 메시지나 메신저 메시지에서 링크를 클릭하게 하거나 전자 메일을 통해 보낸 첨부 파일을 열도록 하는 등의 조치를 취하도록 유도해야 합니다.
5. MS14-060 : Windows OLE의 취약점으로 인한 원격 코드 실행 문제점(3000869) - 중요
- CVE-2014-4114 : Windows OLE 원격 코드 실행 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격 코드가 실행될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
6. MS14-061 : Microsoft Word 및 Office Web Apps의 취약점으로 인한 원격 코드 실행 문제점(3000434) - 중요
- CVE-2014-4117 : Microsoft Word 파일 형식 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 공격자가 사용자에게 특수하게 조작된 Microsoft Word 파일을 열도록 유도할 경우 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그인한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
7. MS14-062 : Message Queuing 서비스의 취약점으로 인한 권한 상승 문제점(2993254) - 중요
- CVE-2014-4971 : MQAC 임의 쓰기 권한 상승 취약점
이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 공격자가 Message Queuing 서비스에 특수하게 조작된 IOCTL(입출력 제어) 요청을 보낼 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점의 악용에 성공하면 영향을 받는 시스템에 완전하게 액세스할 수 있습니다. 기본적으로 Message Queuing 구성 요소는 영향을 받는 운영 체제 에디션에 설치되지 않으며, 관리자 권한을 가진 사용자가 직접 설정해야만 사용할 수 있습니다. Message Queuing 구성 요소를 수동으로 설정한 고객만 이 문제에 취약할 가능성이 있습니다.
8. MS14-063 : FAT32 디스크 파티션 드라이버의 취약점으로 인한 권한 상승 문제점(2998579) - 중요
- CVE-2014-4115 : Microsoft Windows 디스크 파티션 드라이버 권한 상승 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 권한 상승 취약점은 Windows FASTFAT 시스템 드라이버가 FAT32 디스크 파티션과 상호 작용하는 방식에 존재합니다. 이 취약점 악용에 성공한 공격자는 상승된 권한을 사용하여 임의 코드를 실행할 수 있습니다.
그 외에 Windows 7 운영 체제 기준으로 2건의 Windows 안정성 업데이트가 포함되어 있습니다.
(1) Windows 7용 업데이트(KB2994023) : RPD 8.1 client for Windows 7 or Windows Server 2008 R2 disconnects when it is connected through a RD gateway
Windows 7 Service Pack 1 (SP1) 또는 Windows Server 2008 R2 SP1 운영 체제 환경에서 User Datagram Protocol(UDP)을 사용하는 Remote Desktop Gateway(RD Gateway)를 통해 Remote Desktop Protocol(RDP) 8.1로 원격 데스크탑 연결을 시도할 경우 연결이 끊어지는 문제를 해결하였습니다.
(2) Windows 7용 업데이트(KB3000988) : "The profile for the user is a temporary profile" error when you install a MSI package in Windows
필수 또는 임시 사용자 프로필을 사용하는 MSI 패키지를 이용하여 설치할 때 "사용자를 위한 프로필은 임시 프로필입니다.(The profile for the user is a temporary profile)" 오류 메시지가 생성되는 문제를 해결하였습니다.
■ 2014년 11월 정기 보안 업데이트 예고
2014년 11월 12일 예정된 정기 보안 업데이트에서는 2014년 9월 보안 업데이트를 통해 이루어진 Internet Explorer 웹 브라우저의 보안에 취약한 구버전 Oracle Java 플러그인 차단 정책을 확장하여 Microsoft Silverlight 플러그인 중에서 구버전을 사용할 경우 Internet Explorer 웹 브라우저에서 차단이 이루어질 예정이라고 밝히고 있습니다.
그러므로 MS Silverlight 플러그인이 설치된 PC 환경에서는 반드시 최신 버전으로 Windows Update 기능을 이용하여 업데이트하시기 바랍니다.
마이크로소프트(Microsoft) 정기 보안 업데이트를 통해 제공되는 보안 패치는 반드시 설치하여 취약점(Exploit)를 이용한 악성코드 감염을 사전에 차단할 수 있도록 하시기 바랍니다.