본문 바로가기

벌새::Security

마이크로소프트(Microsoft) 2011년 11월 보안 업데이트

마이크로소프트(Microsoft)사에서 매월 제공하는 2011년 11월 정기 보안 업데이트가 공개되었습니다.

이번 업데이트에서는 Microsoft Windows 제품군에서 발견된 4건의 보안 취약점 문제가 해결되었으며, 추가적으로 Microsoft Windows 악성 소프트웨어 제거 도구(MRT)에서는 Win32/Carberp, Win32/Cridex, Win32/Dofoil 3건의 악성코드 진단 및 치료 기능이 추가되었습니다.

Win32/Carberp 악성코드는 Exploit:JS/Blacole와 같은 취약점을 이용한 악성 스크립트를 통해 감염을 유발하며, 온라인 뱅킹 인증서, 다양한 소프트웨어로부터 데이터 정보를 수집하기 위한 스크린 캡쳐 또는 키보드 감시 기능을 위한 추가적인 파일을 다운로드하여 실행합니다.

Win32/Cridex 악성코드는 TrojanDownloader:Win32/Skidlo.A와 같은 스팸 메일(Spam Mail)이나 Exploit:JS/Blacole와 같은 취약점을 이용한 악성 스크립트를 통해 유포가 이루어지며, 로컬 인증서 탈취 및 온라인 뱅킹 인증서 캡쳐 등의 악의적 동작을 실행합니다.

Win32/Dofoil 악성코드는 New_Password_IN46537.zip, Invoice_Copy.zip, Facebook_Password.zip 첨부 파일과 같은 악성 메일을 통해 유포가 이루어지며, 감염시 원격 사이트 접속을 통한 추가적인 다운로드 및 실행을 통해 악의적 동작을 실행합니다.

그러므로 업데이트 이후에 Microsoft Windows 악성 소프트웨어 제거 도구(MRT)를 이용하여 시스템 정밀 검사를 하시는 것을 추천합니다.

1. MS11-083 : TCP/IP의 취약점으로 인한 원격 코드 실행 문제점(2588516) - 긴급


■ CVE-2011-2013 : Reference Counter Overflow Vulnerability

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 공격자가 대상 시스템 상의 닫힌 포트로 특수하게 조작된 UDP 패킷을 연속적으로 보낼 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다.

2. MS11-084 : Windows 커널 모드 드라이버의 취약점으로 인한 서비스 거부 문제점(2617657) - 보통


■ CVE-2011-2004 : TrueType Font Parsing Vulnerability

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 사용자가 전자 메일 첨부 파일로 받은 특수하게 조작된 TrueType 글꼴 파일을 열거나 특수하게 조작된 TrueType 글꼴 파일이 있는 네트워크 공유 또는 WebDAV 위치로 이동하는 경우 이 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 공격이 성공하려면 사용자가 특수하게 조작된 글꼴 파일을 포함한 WebDAV 공유나 신뢰할 수 없는 원격 파일 시스템 위치에 방문하거나 해당 파일을 전자 메일 첨부 파일로 열어야 합니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 작업을 수행하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭하여 그렇게 하도록 유도하는 것이 일반적입니다.

3. MS11-085 : Windows Mail 및 Windows Meeting Space의 취약점으로 인한 원격 코드 실행 문제점(2620704) - 중요


■ CVE-2011-2016 : Windows Mail Insecure Library Loading Vulnerability

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 파일(예 : .eml 또는 .wcinv 파일)을 여는 경우 원격 코드 실행이 허용될 수 있습니다. 이렇게 하면 합법적인 파일을 열 때 Windows Mail 또는 Windows Meeting Space가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 합법적인 파일(예 : .eml 또는 .wcinv 파일)을 열어야 합니다.

4. MS11-086 : Active Directory의 취약점으로 인한 권한 상승 문제점(2630837) - 중요


■ CVE-2011-2014 : LDAPS Authentication Bypass Vulnerability

이 보안 업데이트는 Active Directory, ADAM(Active Directory Application Mode) 및 AD LDS(Active Directory Lightweight Directory Service)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 Active Directory가 LDAPS(LDAP over SSL)를 사용하도록 구성되고 공격자가 유효한 도메인 계정과 관련된 해지된 인증서를 획득한 다음 그 인증서를 사용하여 Active Directory 도메인에 인증을 받는 경우 권한 상승이 발생할 수 있습니다. 기본적으로 Active Directory는 LDAP over SSL을 사용하도록 구성되지 않습니다.

이번 정기 보안 업데이트에서는 최근에 확인된 백도어(Backdoor) 기능을 가진 Duqu 악성코드 감염시 악용된 Win32k TrueType font parsing 엔진의 취약점을 이용하여 커널 모드에서 임의의 코드 실행이 가능한 제로데이(0-Day) 취약점 문제는 해결이 되지 않았습니다.

그러므로 11월 중으로 긴급 업데이트 방식으로 공개될 것으로 추정되므로 차후 반드시 업데이트를 하시기 바랍니다.