마이크로소프트(Microsoft) 보안 권고 : SSL/TLS 취약점을 이용한 정보 노출 - CVE-2011-3389 (2011.9.27)
벌새::Security
마이크로소프트(Microsoft)사에서 최근 알려진 SSL((Secure Sockets Layer) 3.0과 TLS(Transport Layer Security) 1.0 프로토콜의 보안 취약점 문제로 인하여 암호화된 정보가 외부에 노출될 수 있는 문제에 대한 권고문이 올라왔습니다.
해당 취약점(CVE-2011-3389)은 Windows 자체의 문제가 아닌 해당 프로토콜(Protocol) 문제로 암호화된 SSL/TLS 트래픽이 특정 조건에서 복호화되어 정보가 노출되는 문제입니다.
[영향을 받는 소프트웨어]
■ Windows XP Service Pack 3
■ Windows XP Professional x64 Edition Service Pack 2
■ Windows Server 2003 Service Pack 2
■ Windows Server 2003 x64 Edition Service Pack 2
■ Windows Server 2003 with SP2 for Itanium-based Systems
■ Windows Vista Service Pack 2
■ Windows Vista x64 Edition Service Pack 2
■ Windows Server 2008 for 32-bit Systems Service Pack 2
■ Windows Server 2008 for x64-based Systems Service Pack 2
■ Windows Server 2008 for Itanium-based Systems Service Pack 2
■ Windows 7 for 32-bit Systems, Windows 7 for 32-bit Systems Service Pack 1
■ Windows 7 for x64-based Systems, Windows 7 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for x64-based Systems, Windows Server 2008 R2 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for Itanium-based Systems, Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
■ Windows XP Service Pack 3
■ Windows XP Professional x64 Edition Service Pack 2
■ Windows Server 2003 Service Pack 2
■ Windows Server 2003 x64 Edition Service Pack 2
■ Windows Server 2003 with SP2 for Itanium-based Systems
■ Windows Vista Service Pack 2
■ Windows Vista x64 Edition Service Pack 2
■ Windows Server 2008 for 32-bit Systems Service Pack 2
■ Windows Server 2008 for x64-based Systems Service Pack 2
■ Windows Server 2008 for Itanium-based Systems Service Pack 2
■ Windows 7 for 32-bit Systems, Windows 7 for 32-bit Systems Service Pack 1
■ Windows 7 for x64-based Systems, Windows 7 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for x64-based Systems, Windows Server 2008 R2 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for Itanium-based Systems, Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
이로 인하여 모든 웹 트래픽이 HTTPS로 되어 있는 보안 연결이거나 HTTP/HTTPS로 혼합된 콘텐츠인 경우에 해당하는 트래픽이 해당 취약점으로 인하여 정보 노출이 발생할 수 있습니다.
하지만 해당 취약점을 이용한 실제적인 공격은 현재 보고되지 않은 상태이며, 공격이 성공하기 위해서 몇 가지 조건이 필요합니다.
- 공격 목표가 되는 사용자가 반드시 활성화된 HTTPS 섹션 내에 있어야 한다.
- 공격자는 공격 목표가 되는 사용자의 웹 브라우저의 암호화된 HTTPS 트래픽 섹션 내에서 동작하고 인젝션(Injection)하기 위한 악성코드가 필요하다.
- 공격자의 악성코드는 사용자가 연결한 HTTPS에 추가되는 것이 허용되기 위한 HTTPS 원본을 동일하게 처리할 수 있어야 한다.
즉, 공격자는 특정 사용자를 악성코드로 감염시킨 상태에서 암호화된 보안 연결이 이루어지는 과정에서 패킷 감청에 성공할 수 있는 것으로 보입니다.
실제 최근에 국가정보원에서 SSL 암호화 패킷을 감청하여 복호화하는데 성공하였다는 기사가 나와 있는데, 이번 취약점은 아니더라도 비슷한 문제로 봐야할 것 같습니다.
해당 취약점은 TLS 1.1, TLS 1.2와 다른 모든 암호화 수단에서는 영향을 미치지 않는 것으로 알려져 있습니다.
그러므로 개인 인터넷 사용자의 경우에는 Windows 7 & Windows Server 2008 R2 운영 체제의 Internet Explorer 웹 브라우저에서 제공하는 인터넷 옵션의 [고급 - 보안] 항목에서 TLS 1.1, TLS 1.2를 체크하시고 이용하시기 바랍니다.
현재 해당 취약점에 대한 보안 패치는 제공되고 있지 않으며, 차후 Windows 보안 업데이트시에 제공될 예정입니다.
'벌새::Security' 카테고리의 다른 글
| 업데이트 : Mozilla Firefox 7.0 (2) | 2011.09.29 |
|---|---|
| Windows 악성 소프트웨어 제거 도구 : 2011년 9월(KB890830) - Win32/Kelihos (2) | 2011.09.28 |
| 마이크로소프트(Microsoft) 보안 권고 : SSL/TLS 취약점을 이용한 정보 노출 - CVE-2011-3389 (2011.9.27) (1) | 2011.09.27 |
| 업데이트 : Adobe Flash Player 10.3.183.10 (6) | 2011.09.22 |
| MBR 변조 온라인 게임 악성코드 치료 전용 백신 : V3 Halcbot Bootkit Removal Tool (2011.9.21) (2) | 2011.09.21 |
| 업데이트 : Google Chrome 14.0.835.186 (1) | 2011.09.21 |
댓글을 달아 주세요
최근들어 ssl 관련한 소식이 많군요. 좋은 소식은 아닙니다만...
어쩌면 국내에서 사용하는 웹암호화 프로그램들의 보안 취약점 이슈도 곧 나올수 도 있겠네요.