본문 바로가기

벌새::Security

2015년 4월 마이크로소프트(Microsoft) 정기 보안 업데이트 (2015.4.15)

반응형

마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2015년 4월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft Server 소프트웨어, 생산성 소프트웨어, Microsoft .NET Framework 제품에서 발견된 26건의 보안 취약점 문제를 해결한 11개의 보안 패치가 포함되어 있습니다.

■ 2015년 4월 정기 보안 업데이트 이슈 정리

 

(1) CVE-2015-1641 : Microsoft Office 메모리 손상 취약성

 

이번 업데이트에서는 악의적으로 조작된 Microsoft Office 파일을 오픈할 경우 메모리 손상 취약점(CVE-2015-1641)을 이용하여 원격 코드 실행이 가능한 공격이 공개되어 실제 악용되는 보안 문제를 해결한 보안 패치(MS15-033)가 포함되어 있습니다.

 

(2) CVE-2014-3566 : SSL 3.0 취약점을 이용한 정보 노출 문제

2014년 10월경 공개된 SSL 3.0 프로토콜 취약점(CVE-2014-3566)으로 인한 MITM 공격을 통한 정보 노출이 가능한 문제에 대하여 이번 업데이트를 통해 Internet Explorer 11 버전에서 기본값으로 SSL 3.0 프로토콜을 사용하지 않도록 설정을 변경하였습니다.

 

■ Windows 8, Windows 8.1 운영 체제를 위한 Adobe Flash Player 플러그인 업데이트 정보

Windows 8, Windows 8.1 운영 체제에 자체 내장된 Adobe Flash Player 플러그인에서 발견된 다중 보안 취약점 문제를 해결한 Adobe Flash Player 17.0.0.169 버전이 업데이트 되었습니다.

 

2015년 4월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830

2015년 4월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 Win32/Dexter, Win32/IeEnablerCby, Win32/Saluchtra, Win32/Unskal 4종의 악성코드에 대한 진단이 추가되었습니다.

 

(1) Win32/Dexter

 

해당 악성코드는 POS(Point-of-Sale) 시스템에서 신용카드 정보를 수집하여 외부로 유출할 수 있으며, Brute Force 기법을 통한 비밀번호를 뚫거나 소프트웨어 취약점을 통해 악성 프로그램 설치를 시도할 수 있습니다.

 

(2) Win32/IeEnablerCby

 

해당 악성코드는 사용자의 동의없이 Internet Explorer, Google Chrome, Mozilla Firefox 웹 브라우저의 확장 프로그램(Contoso Toolbar)을 설치할 수 있습니다.

 

(3) Win32/Saluchtra

 

해당 악성코드는 시작프로그램 폴더에 file.exe, fsquirt.exe, iexplore_own.exe, ISVMWIN32_own.exe 파일을 등록하여 시스템 시작시 자동 실행되며, 컴퓨터 이름 등의 시스템 정보를 수집하여 C&C 서버로 전송합니다.

 

또한 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더에 추가적인 악성 파일 다운로드 및 업데이트를 통한 동작 및 가상 환경(VMware, Oracle VM VirtualBox)을 체크하여 동작 여부를 결정할 수 있습니다.

 

(4) Win32/Unskal

 

일명 Backoff Point-of-Sale(POS)로 알려진 해당 악성코드는 고객 지불 정보와 같은 신용카드 정보를 수집하여 외부로 유출하여 언더그라운드 마켓에 판매를 합니다.

 

감염된 시스템에서는 공격자에 의한 원격 제어를 통한 민감한 정보 탈취 및 추가적인 악성코드 다운로드를 통한 설치를 진행할 수 있으며, 약한 비밀번호를 사용하는 기기의 경우 인증서 탈취를 위한 Brute Force 공격을 수행합니다.

 

■ 2015년 4월 정기 보안 업데이트 세부 정보

 

(1) MS15-032 : Internet Explorer용 누적 보안 업데이트(3038314) - 긴급

  • CVE-2015-1652, CVE-2015-1657, CVE-2015-1659, CVE-2015-1660, CVE-2015-1662, CVE-2015-1665, CVE-2015-1666, CVE-2015-1667, CVE-2015-1668 : Internet Explorer 메모리 손상 취약성
  • CVE-2015-1661 : Internet Explorer ASLR 우회 취약성

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(2) MS15-033 : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3048019) - 긴급

  • CVE-2015-1639 : Microsoft Outlook App for Mac XSS 취약성
  • CVE-2015-1641 : Microsoft Office 메모리 손상 취약성
  • CVE-2015-1649, CVE-2015-1650, CVE-2015-1651 : Microsoft Office 구성 요소 해제 후 사용 취약성

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(3) MS15-034 : HTTP.sys의 취약성으로 인한 원격 코드 실행 문제(3042553) - 긴급

  • CVE-2015-1635 : HTTP.sys 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 공격자가 영향받는 Windows 시스템에 특수 제작된 HTTP 요청을 보낼 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다.

 

(4) MS15-035 : Microsoft 그래픽 구성 요소의 취약성으로 인한 원격 코드 실행 문제(3046306) - 긴급

  • CVE-2015-1645 : EMF 처리 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 공격자가 사용자에게 특수 제작된 웹 사이트로 이동하거나, 특수 제작된 파일을 열거나, 특수 제작된 EMF(확장 메타파일) 이미지 파일이 포함된 작업 디렉터리로 이동하도록 유도할 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 작업을 수행하도록 만들 수 없습니다. 공격자는 일반적으로 전자 메일이나 인스턴트 메신저 메시지에서 유인물을 이용하여 이러한 작업을 수행하도록 사용자를 유도해야 합니다.

 

(5) MS15-036 : Microsoft SharePoint Server의 취약성으로 인한 권한 상승 문제(3052044) - 중요

  • CVE-2015-1640, CVE-2015-1653 : Microsoft SharePoint XSS 취약성

이 보안 업데이트는 Microsoft Office 서버 및 생산성 소프트웨어의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 영향받은 SharePoint 서버에 특수 제작된 요청을 보내는 경우 권한 상승이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 읽도록 허가되지 않은 콘텐츠를 읽고, 희생자의 ID를 사용해서 희생자 대신 SharePoint 사이트에서 사용 권한 변경 및 콘텐츠 삭제와 같은 작업을 수행하고, 희생자의 브라우저에 악성 콘텐츠를 삽입할 수 있습니다.

 

(6) MS15-037 : Windows 작업 스케줄러의 취약성으로 인한 권한 상승 문제(3046269) - 중요

  • CVE-2015-0098 : 작업 스케줄러 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 이 취약성 악용에 성공한 공격자는 알려진 잘못된 작업을 활용하여 작업 스케줄러가 특수 제작된 응용 프로그램을 시스템 계정의 컨텍스트에서 실행되도록 할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

 

(7) MS15-038 : Microsoft Windows의 취약성으로 인한 권한 상승 문제(3049576) - 중요

  • CVE-2015-1643 : NtCreateTransactionManager 유형 혼동 취약성
  • CVE-2015-1644 : Windows MS-DOS 장치 이름 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 시스템에 로그온하고 특수 제작된 응용 프로그램을 실행할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 이 취약성을 악용하려면 공격자가 먼저 시스템에 로그온해야 합니다.

 

(8) MS15-039 : XML Core Services의 취약성으로 인한 보안 기능 우회 문제(3046482) - 중요

  • CVE-2015-1646 : MSXML3 동일 원본 정책 SFB 취약성

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 파일을 여는 경우 보안 기능 우회가 허용될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 특수 제작된 파일을 열도록 만들 수 없습니다. 공격자는 일반적으로 전자 메일이나 인스턴트 메신저 메시지에서 유인물을 이용하여 이 파일을 열도록 사용자를 유도해야 합니다.

 

(9) MS15-040 : Active Directory Federation Services의 취약성으로 인한 정보 유출 문제(3045711) - 중요

  • CVE-2015-1638 : Active Directory Federation Services 정보 유출 취약성

이 보안 업데이트는 AD FS(Active Directory Federation Services)의 취약성을 해결합니다. 사용자가 응용 프로그램에서 로그오프한 후 브라우저를 열어두고, 공격자가 사용자가 로그 오프 한 직후 이 브라우저에서 해당 응용 프로그램을 다시 여는 경우 이 취약성으로 인해 정보가 공개될 수 있습니다.

 

(10) MS15-041 : .NET Framework의 취약성으로 인한 정보 유출 문제(3048010) - 중요

  • CVE-2015-1648 : ASP.NET 정보 유출 취약성

이 보안 업데이트는 Microsoft .NET Framework의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 사용자 지정 오류 메시지가 사용되지 않는 영향받는 서버에 특수 제작된 웹 요청을 보내는 경우 정보가 공개될 수 있습니다. 이 취약성 악용에 성공한 공격자는 중요한 정보를 노출할 수 있는 웹 구성 파일의 일부를 볼 수 있습니다.

 

(11) MS15-042 : Windows Hyper-V의 취약성으로 인한 서비스 거부 문제(3047234) - 중요

  • CVE-2015-1647 : Windows Hyper-V DoS 취약성

이 보안 업데이트는 Microsoft Windows에서 발견된 취약성을 해결합니다. 이 취약성으로 인해 인증된 공격자가 특수 제작된 응용 프로그램을 VM(가상 컴퓨터) 세션에서 실행하는 경우 서비스 거부가 허용될 수 있습니다. 서비스 거부는 공격자가 Hyper-V 호스트에서 실행되는 다른 VM에서 코드를 실행하거나 사용자 권한을 상승시키도록 허용하지 않지만, 호스트의 다른 VM을 Virtual Machine Manager에서 관리 가능하지 않게 만들 수 있습니다.

 

그러므로 Windows 운영 체제 및 MS 제품을 사용하는 모든 사용자는 Windows Update 기능을 통해 제공되는 보안 패치를 반드시 설치하시고 사용하시기 바랍니다.

728x90
반응형