2016년 5월 마이크로소프트(Microsoft) 정기 보안 업데이트

마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2016년 5월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Services 및 Web Apps, Adobe Flash Player, Microsoft .NET Framework 제품군에서 발견된 33건(※ Adobe Flash Player 취약점 제외)의 보안 취약점 문제를 해결한 16개의 보안 패치가 포함되어 있습니다.

 

 

• <Microsoft Security TechCenter> 2016년 5월 Microsoft 보안 공지 요약 (2016.5.11)

■ 2016년 5월 보안 업데이트 핵심 정보

 

(1) Windows 10 Version 1511 누적 업데이트(KB3156421)

 

Windows 10 버전 1511 (OS 빌드 10586.318) 누적 업데이트에서는 다음과 같은 품질 개선 및 보안 패치가 포함되어 있습니다.

 

1. Improved reliability in a number of areas including Cortana, Bluetooth, Shell, Internet Explorer 11, Microsoft Edge, Miracast, and USB.
2. Fixed memory leak that occurs when opening a portable document format (PDF) form multiple times.
3. Fixed issues with text alignment for right to left languages in Internet Explorer 11 and Microsoft Edge.
4. Fixed issue that affected Bluetooth function when a PC resumes from sleep.
5. Fixed issue where user accounts weren't locked out after a number of failed sign in attempts.
6. Fixed issue with revised daylight saving time.
7. Fixed issue that sometimes corrupts CompactFlash cards inserted into a card reader.
8. Fixed issue that caused recorded video to be lost when answering an incoming call on some phones.
9. Fixed issue that could result in unexpected battery drain while the phone screen is off.
10. Fixed additional security issues with kernel mode drivers, remote procedure calls, the Microsoft
11. Graphics Component, Internet Explorer 11, Microsoft Edge, Windows Shell, Windows Journal, Virtual Secure Mode, Schannel, and Jscript.

(2) CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약성

 

• <Symantec Official Blog> Internet Explorer zero-day exploit used in targeted attacks in South Korea (2016.5.10)

시만텍(Symantec) 보안 업체에서는 MS16-051, MS16-053 보안 패치를 통해 해결된 스크립팅 엔진 메모리 손상 취약성(CVE-2016-0189) 제로데이(0-Day) 보안 취약점을 통해 악성코드 유포가 이루어졌으며, 해당 사이버 공격은 한국을 대상으로 이루어졌다고 발표하였습니다.

 

최신 보안 패치가 적용된 환경에서 악의적으로 조작된 웹 사이트를 Internet Explorer 웹 브라우저를 통해 접속 시 악성 JavaScript 실행을 통해 가상 환경, Internet Explorer, Adobe Flash Player, Windows 버전 체크를 통해 감염 여부가 결정됩니다.

 

조건에 만족할 경우 0x55164975 XOR 값으로 암호화된 악성 파일 다운로드 및 실행되어 "C:\Users\(로그인 계정명)\AppData\Local\Temp\rund11.dll" 악성 파일을 생성하였다고 공개하였습니다.

 

(3)  Windows 8, Windows 8.1, Windows 10 운영 체제용 Adobe Flash Player 보안 업데이트 - KB3157993

 

Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전, Windows 10 운영 체제용 Internet Explorer 11 및 Microsoft Edge 웹 브라우저용 Adobe Flash Player 플러그인의 제로데이(0-Day) 보안 취약점(CVE-2016-4117) 및 다중 보안 취약점 문제를 해결한 Adobe Flash Player 21.0.0.241 버전이 MS16-064 보안 패치를 통해 업데이트 되었습니다.

 

(4) 2016년 5월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830

 

 

2016년 5월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 Win32/Kovter, Win32/Locky 악성코드 진단 패턴이 추가되었습니다.

 

1. Win32/Kovter : 스팸(Spam) 메일 첨부 파일 또는 가짜 Adobe Flash Player 다운로드 사이트를 통해 감염될 수 있으며, 다양한 시스템 프로세스(iexplore.exe, explorer.exe, regsvr32.exe, svchost.exe)에 인젝션되어 메모리 상으로 동작합니다. 이를 통해 시스템 정보 수집 및 가상 환경 체크를 수행하며 사용자 몰래 웹사이트 접속을 통한 광고 클릭을 유발하며 추가적인 악성 프로그램 다운로드가 이루어질 수 있습니다.
2. Win32/Locky : 스팸(Spam) 메일의 MS Word 첨부 문서 또는 취약점(Exploit) 방식으로 유포되어 실행 시 문서, 사진 등의 개인 데이터 파일을 .locky 확장명으로 암호화한 후 랜섬웨어 안내 메시지(_HELP_instructions.txt, _Locky_recover_instructions.txt, _Locky_recover_instructions.bmp)를 통한 금전을 요구하는 랜섬웨어(Ransomware)입니다.

■ 2016년 5월 정기 보안 업데이트 세부 정보

 

(1) MS16-051 : Internet Explorer용 누적 보안 업데이트(3155533) - 긴급

 

• CVE-2016-0187, CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약성
• CVE-2016-0188 : Internet Explorer 보안 기능 우회
• CVE-2016-0192 : Microsoft 브라우저 메모리 손상 취약성
• CVE-2016-0194 : Internet Explorer 정보 유출 취약성

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우 공격자가 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

 

(2) MS16-052 : Microsoft Edge용 누적 보안 업데이트(3155538) - 긴급

 

• CVE-2016-0186, CVE-2016-0191, CVE-2016-0193 : 스크립팅 엔진 메모리 손상 취약성
• CVE-2016-0192 : Microsoft 브라우저 메모리 손상 취약성

이 보안 업데이트는 Microsoft Edge의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Microsoft Edge를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 고객은 관리자 권한이 있는 사용자보다 영향을 덜 받을 수 있습니다.

 

(3) MS16-053 : JScript 및 VBScript용 보안 업데이트(3156764) - 긴급

 

• CVE-2016-0187, CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약성

이 보안 업데이트는 Microsoft Windows에서 JScript 및 VBScript 스크립팅 엔진의 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

 

(4) MS16-054 : Microsoft Office용 보안 업데이트(3155544) - 긴급

 

• CVE-2016-0126, CVE-2016-0140, CVE-2016-0198 : Microsoft Office 메모리 손상 취약성
• CVE-2016-0183 : Microsoft Office 그래픽 RCE 취약성

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 사용자가 특수 제작된 Microsoft Office 파일을 열면 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 고객은 관리자 권한으로 작업하는 고객보다 영향을 덜 받을 수 있습니다.

 

(5) MS16-055 : Microsoft 그래픽 구성 요소용 보안 업데이트(3156754) - 긴급

 

• CVE-2016-0168, CVE-2016-0169 : Windows 그래픽 구성 요소 정보 유출 취약성
• CVE-2016-0170 : Windows 그래픽 구성 요소 RCE 취약성
• CVE-2016-0184 : Direct3D 해제 후 사용 취약성
• CVE-2016-0195 : Windows 이미징 구성 요소 메모리 손상 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 문서를 열거나 특수 제작된 웹 사이트를 방문하는 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.

 

(6) MS16-056 : Windows 필기장용 보안 업데이트(3156761) - 긴급

 

• CVE-2016-0182 : 필기장 메모리 손상 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 필기장 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.

 

(7) MS16-057 : Windows Shell용 보안 업데이트(3156987) - 긴급

 

• CVE-2016-0179 : Windows Shell 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 사용자 제공 온라인 콘텐츠를 수락하는 특수 제작된 웹 사이트로 이동하거나 특수 제작된 콘텐츠를 열도록 사용자를 유도하는 데 성공하는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.

 

(8) MS16-058 : Windows IIS용 보안 업데이트(3141083) - 중요

 

• CVE-2016-0152 : Windows DLL 로드 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성은 로컬 시스템에 대한 액세스 권한을 가진 공격자가 악성 응용 프로그램을 실행하는 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.

 

(9) MS16-059 : Windows Media Center용 보안 업데이트(3150220) - 중요

 

• CVE-2016-0185 : Windows Media Center 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Windows Media Center가 악성 코드를 참조하는 특수 제작된 Media Center 링크(.mcl) 파일을 여는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다.

 

(10) MS16-060 : Windows 커널용 보안 업데이트(3154846) - 중요

 

• CVE-2016-0180 : Windows 커널 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 영향받는 시스템에 로그온한 후 특수 제작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다.

 

(11) MS16-061 : Microsoft RPC용 보안 업데이트(3155520) - 중요

 

• CVE-2016-0178 : RPC 네트워크 데이터 표시 엔진 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 인증되지 않은 공격자가 영향받는 호스트에 대한 잘못된 형식의 RPC(원격 프로시저 호출) 요청을 만드는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다.

 

(12) MS16-062 : Windows 커널 모드 드라이버용 보안 업데이트(3158222) - 중요

 

• CVE-2016-0171, CVE-2016-0173, CVE-2016-0174, CVE-2016-0196 : Win32k 권한 상승 취약성
• CVE-2016-0175 : Win32k 정보 유출 취약성
• CVE-2016-0176, CVE-2016-0197 : Microsoft DirectX Graphics 커널 하위 시스템 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이러한 취약성 중 더 위험한 취약성으로 인해 공격자가 영향받는 시스템에 로그온하여 특수 제작된 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다.

 

(13) MS16-064 : Adobe Flash Player용 보안 업데이트(3157993) - 긴급

 

이 보안 업데이트는 지원되는 모든 버전의 Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 및 Windows 10에 설치된 Adobe Flash Player의 취약성을 해결한 Adobe Flash Player 21.0.0.241 버전으로 업데이트합니다.

 

(14) MS16-065 : .NET Framework용 보안 업데이트(3156757) - 중요

 

• CVE-2016-0149 : TLS/SSL 정보 유출 취약성

이 보안 업데이트는 Microsoft .NET Framework의 취약성을 해결합니다. 공격자가 대상 보안 채널에 암호화되지 않은 데이터를 삽입한 다음 대상 지정된 클라이언트와 합법적 서버 간에 MiTM(메시지 가로채기(man-in-the-middle)) 공격을 수행하는 경우 이 취약성으로 인해 정보 유출이 발생할 수 있습니다.

 

(15) MS16-066 : 가상 보안 모드용 보안 업데이트(3155451) - 중요

 

• CVE-2016-0181 : 하이퍼바이저 코드 무결성 보안 기능 우회

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 특수 제작된 응용 프로그램을 실행하여 Windows에서 코드 무결성 보호를 우회하는 경우 이 취약성으로 인해 보안 기능 우회가 허용될 수 있습니다.

 

(16) MS16-067 : 볼륨 관리자 드라이버용 보안 업데이트(3155784) - 중요

 

• CVE-2016-0190 : 원격 데스크톱 프로토콜 드라이브 리디렉션 정보 유출 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Microsoft RemoteFX를 통해 RDP(원격 데스크톱 프로토콜)로 탑재된 USB 디스크가 탑재 사용자의 세션에 제대로 연결되지 않은 경우 이 취약성으로 인해 정보 유출이 허용될 수 있습니다.

 

그러므로 Windows 운영 체제 및 Microsoft 소프트웨어 제품이 설치된 환경에서는 Windows 업데이트 기능을 통해 제공되는 보안 패치를 반드시 설치하시기 바랍니다.