본문 바로가기

벌새::Security

마이크로소프트(Microsoft) 보안 권고 : SSL/TLS 취약점을 이용한 정보 노출 - CVE-2011-3389 (2011.9.27)

 

마이크로소프트(Microsoft)사에서 최근 알려진 SSL((Secure Sockets Layer) 3.0과 TLS(Transport Layer Security) 1.0 프로토콜의 보안 취약점 문제로 인하여 암호화된 정보가 외부에 노출될 수 있는 문제에 대한 권고문이 올라왔습니다.
 

해당 취약점(CVE-2011-3389)은 Windows 자체의 문제가 아닌 해당 프로토콜(Protocol) 문제로 암호화된 SSL/TLS 트래픽이 특정 조건에서 복호화되어 정보가 노출되는 문제입니다.

 

[영향을 받는 소프트웨어]

■ Windows XP Service Pack 3
■ Windows XP Professional x64 Edition Service Pack 2
■ Windows Server 2003 Service Pack 2
■ Windows Server 2003 x64 Edition Service Pack 2
■ Windows Server 2003 with SP2 for Itanium-based Systems
■ Windows Vista Service Pack 2
■ Windows Vista x64 Edition Service Pack 2
■ Windows Server 2008 for 32-bit Systems Service Pack 2
■ Windows Server 2008 for x64-based Systems Service Pack 2
■ Windows Server 2008 for Itanium-based Systems Service Pack 2
■ Windows 7 for 32-bit Systems, Windows 7 for 32-bit Systems Service Pack 1
■ Windows 7 for x64-based Systems, Windows 7 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for x64-based Systems, Windows Server 2008 R2 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for Itanium-based Systems, Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

 

이로 인하여 모든 웹 트래픽이 HTTPS로 되어 있는 보안 연결이거나 HTTP/HTTPS로 혼합된 콘텐츠인 경우에 해당하는 트래픽이 해당 취약점으로 인하여 정보 노출이 발생할 수 있습니다.

하지만 해당 취약점을 이용한 실제적인 공격은 현재 보고되지 않은 상태이며, 공격이 성공하기 위해서 몇 가지 조건이 필요합니다.

 

  1. 공격 목표가 되는 사용자가 반드시 활성화된 HTTPS 섹션 내에 있어야 한다.
  2. 공격자는 공격 목표가 되는 사용자의 웹 브라우저의 암호화된 HTTPS 트래픽 섹션 내에서 동작하고 인젝션(Injection)하기 위한 악성코드가 필요하다.
  3. 공격자의 악성코드는 사용자가 연결한 HTTPS에 추가되는 것이 허용되기 위한 HTTPS 원본을 동일하게 처리할 수 있어야 한다.

즉, 공격자는 특정 사용자를 악성코드로 감염시킨 상태에서 암호화된 보안 연결이 이루어지는 과정에서 패킷 감청에 성공할 수 있는 것으로 보입니다.

 

실제 최근에 국가정보원에서 SSL 암호화 패킷을 감청하여 복호화하는데 성공하였다는 기사가 나와 있는데, 이번 취약점은 아니더라도 비슷한 문제로 봐야할 것 같습니다.

해당 취약점은 TLS 1.1, TLS 1.2와 다른 모든 암호화 수단에서는 영향을 미치지 않는 것으로 알려져 있습니다.

 

 

그러므로 개인 인터넷 사용자의 경우에는 Windows 7 & Windows Server 2008 R2 운영 체제의 Internet Explorer 웹 브라우저에서 제공하는 인터넷 옵션의 [고급 - 보안] 항목에서 TLS 1.1, TLS 1.2를 체크하시고 이용하시기 바랍니다.

현재 해당 취약점에 대한 보안 패치는 제공되고 있지 않으며, 차후 Windows 보안 업데이트시에 제공될 예정입니다.

 

  • 최근들어 ssl 관련한 소식이 많군요. 좋은 소식은 아닙니다만...
    어쩌면 국내에서 사용하는 웹암호화 프로그램들의 보안 취약점 이슈도 곧 나올수 도 있겠네요.