울지않는벌새 : Security, Movie & Society

2012년 6월 마이크로소프트(Microsoft) 보안 업데이트 (2012.6.13)

벌새::Security

마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2012년 6월 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Dynamics AX, Microsoft Lync, Microsoft .NET

Framework 제품군에서 발견된 27건의 보안 취약점 문제를 해결한 7개의 보안 패치를 포함하고 있습니다. 

   <Microsoft> 2012년 6월 Microsoft 보안 공지 요약

 

이번 업데이트에서 중요한 이슈는 원격 데스크톱 프로토콜(Windows Remote Desktop Protocol : RDP) 취약점(CVE-2012-0173)을 이용하여 조작된 RDP 패킷을 보낼 경우 원격 코드 실행이 가능한 문제를 MS12-036 보안 패치를 통해 긴급 업데이트를 하였습니다.

 

  MS12-020 : 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점(2671387)

 

원격 데스크톱 취약점과 관련된 이슈는 2012년 3월 MS12-020 보안 패치를 통해 문제가 해결되었지만, 당시 취약점과 관련된 정보가 중국(China) 파트너를 통해 외부에 유출되는 사고가 있었습니다.

 

당시 알려진 정보에 따르면 원격 데스크톱 취약점을 이용한 DoS 공격이 가능하며, 이번의 취약점은 원격 코드 실행이 가능하므로 RDP 기능을 활성화한 기업에서는 반드시 패치를 하시기 바랍니다.

 

또 다른 중요 이슈로 Internet Explorer 제로데이(0-Day) 취약점으로 알려진 "동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)"을 이용한 제한적인 공격이 실제로 일어났으며, 해당 문제를 해결한 Internet Explorer 누적 보안 업데이트 MS12-037 패치가 추가되었습니다.

 

이번 달 Microsoft Windows 악성 소프트웨어 제거 도구(Microsoft Malicious Software Removal Tool : MSRT)에는 Win32/Kuluoz, Win32/Cleaman 2개의 진단이 추가되었습니다. 

Win32/Kuluoz 악성코드는 스팸 메일에 첨부된 파일을 통해 유포되고 있으며, 감염된 PC로부터 응용 프로그램 내에 저장되어 있는 비밀번호 유출 및 민감한 정보를 담고 있는 파일을 탈취하는 다중 요소를 가지고 있습니다.

 

또한 해당 악성코드의 아이콘은 유명 응용 프로그램의 아이콘 모양(PDF 문서 아이콘, 폴더 아이콘)을 하고 있는 것이 특징이며, Win32/Kuluoz, Win32/Sirefef 변종과 Win32/FakeSysdef, Win32/Winwebsec와 같은 해외 가짜 백신을 추가적으로 다운로드하는 기능을 가지고 있습니다.

 

Win32/Cleaman 악성코드는 Drive-by Exploit Kits에 의해 유포가 이루어지는 난독화한 다중 요소(예, VirTool:Win32/CeeInject.gen!DZ)를 가진 트로이목마이며, Bing, Google, Yahoo 검색 결과를 리다이렉트하는 방식으로 광고, 애드웨어, 악성 파일이 존재하는 웹 페이지로 납치를 시도합니다.

 

참고로 대표적으로 유포에 활용되는 취약점 관련 악성코드는 Java 취약점을 이용한 Exploit:Java/CVE-2010-0840, Exploit:Java/CVE-2011-3544 입니다. 

추가적으로 Windows 7 운영 체제에서는 사용자 선택(옵션) 업데이트를 통해 "Windows 7용 업데이트(KB2709981)"를 추가하여 Windows 7, Windows Server 2008 R2 운영 체제의 Windows Media Player 12 버전에서 DVD 콘텐츠의 암호화된 시스템 키를 해독하는데 실패하는 문제를 해결하였습니다.

 

1. MS12-036 : 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점(2685939) - 긴급

 

  ■ CVE-2012-0173 : 원격 데스크톱 프로토콜 취약점

 

이 보안 업데이트는 원격 데스크톱 프로토콜의 비공개적으로 보고된 취약점을 해결합니다. 공격자가 영향을 받는 시스템에 특수하게 조작된 일련의 RDP 패킷을 보낼 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 기본적으로 RDP(원격 데스크톱 프로토콜)은 모든 Windows 운영 체제에서 사용되도록 설정되어 있지는 않습니다. RDP가 사용 가능하지 않는 시스템은 취약하지 않습니다.

 

2. MS12-037 : Internet Explorer 누적 보안 업데이트(2699988) - 긴급

 

  ■ CVE-2012-1523 : Center 요소 원격 코드 실행 취약점
  ■ CVE-2012-1858 : HTML 삭제 취약점
  ■ CVE-2012-1873 : 널 바이트 정보 유출 취약점
  ■ CVE-2012-1874 : 개발자 도구 모음 원격 코드 실행 취약점
  ■ CVE-2012-1875 : 동일한 ID 속성 원격 코드 실행 취약점
  ■ CVE-2012-1876 : Col 요소 원격 코드 실행 취약점
  ■ CVE-2012-1877 : Title 요소 변경 원격 코드 실행 취약점
  ■ CVE-2012-1878 : OnBeforeDeactivate 이벤트 원격 코드 실행 취약점
  ■ CVE-2012-1879 : insertAdjacentText 원격 코드 실행 취약점
  ■ CVE-2012-1880 : insertRow 원격 코드 실행 취약점
  ■ CVE-2012-1881 : OnRowsInserted 이벤트 원격 코드 실행 취약점

 

이 보안 업데이트는 Internet Explorer의 공개된 취약점 1건과 비공개로 보고된 취약점 12건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

 

3. MS12-038 : .NET Framework의 취약점으로 인한 원격 코드 실행 문제점(2706726) - 긴급

 

  ■ CVE-2012-1855 : .NET Framework 메모리 액세스 취약점

 

이 보안 업데이트는 비공개적으로 보고된 Microsoft .NET Framework의 취약점 한 가지를 해결합니다. 사용자가 XBAP(XAML 브라우저 응용 프로그램)을 실행할 수 있는 웹 브라우저를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 이 취약점으로 인해 클라이언트 시스템에서 원격 코드가 실행될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 이 취약점은 CAS(코드 액세스 보안) 제한을 우회하기 위해 Windows .NET 응용 프로그램에서 사용될 수도 있습니다. 웹 탐색을 통한 공격의 경우 공격자는 호스팅하는 웹 사이트에 이 취약점을 악용하는 웹 페이지를 포함할 수 있습니다. 또한 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

 

4. MS12-039 : Lync의 취약점 으로 인한 원격 코드 실행 문제점(2707956) - 중요

 

  ■ CVE-2011-3402, CVE-2012-0159 : TrueType 글꼴 구문 분석 취약점

  ■ CVE-2012-1849 : Lync의 안전하지 않은 라이브러리 로드 취약점

  ■ CVE-2012-1858 : HTML 삭제 취약점

 

이 보안 업데이트는 Microsoft Lync의 공개된 취약점 1건과 비공개로 보고된 취약점 3건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 TrueType 글꼴이 포함된 공유 콘텐츠를 볼 경우 원격 코드 실행이 허용될 수 있습니다.

 

5. MS12-040 : Microsoft Dynamics AX Enterprise Portal의 취약점으로 인한 권한 상승 문제점(2709100) - 중요

 

  ■ CVE-2012-1857 : Dynamic AX Enterprise Portal XSS 취약점

 

이 보안 업데이트는 비공개적으로 보고된 Microsoft Dynamics AX Enterprise Portal의 취약점 1건을 해결합니다. 취약점으로 인해 사용자가 특수하게 조작된 URL을 클릭하거나 특수하게 조작된 웹 사이트를 방문할 경우 권한 상승 문제가 발생할 수 있습니다. 전자 메일을 통한 공격의 경우 공격자는 특수하게 조작한 URL이 포함된 메일 메시지를 대상 Microsoft Dynamics AX Enterprise Portal 사이트의 사용자에게 보내고 특수하게 조작된 URL을 클릭하도록 유도하는 방식으로 취약점을 악용할 수 있습니다. 인터넷 영역에서 Microsoft Dynamics AX Enterprise Portal 사이트로 이동하는 Internet Explorer 8 및 Internet Explorer 9 사용자는 위험 발생률이 낮습니다. 기본적으로 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터가 인터넷 영역에서 이러한 공격을 방지합니다. 하지만 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터는 인트라넷 영역에서 기본적으로 사용되지 않습니다.

 

6. MS12-041 : Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점(2709162) - 중요

 

  ■ CVE-2012-1864, CVE-2012-1865 : 문자열 Atom 클래스 이름 처리 취약점

  ■ CVE-2012-1866 : 클립보드 형식 Atom 이름 처리 취약점

  ■ CVE-2012-1867 : 글꼴 리소스 Refcount 정수 오버플로 취약점

  ■ CVE-2012-1868 : Win32k.sys 경쟁 조건 취약점

 

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 5건을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이러한 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

 

7. MS12-042 : Windows 커널의 취약점으로 인한 권한 상승 문제점(2711167) - 중요

 

  ■ CVE-2012-0217 : User Mode Scheduler 메모리 손상 취약점

  ■ CVE-2012-1515 : BIOS ROM 손상 취약점

 

이 보안 업데이트는 Microsoft Windows의 비공개적으로 보고된 취약점 1건과 공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 이 취약점을 악용하기 위해 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

 

그 외의 최근 Windows 업데이트와 관련된 소식을 전해드리면, 최근 아랍권(이란(Iran) 등)을 표적으로 한 국가 차원에서 제작된 정보 수집형 악성코드 Flame이 마이크로소프트(Microsoft) 인증서를 크랙하여 윈도우 업데이트 기능을 활용한 것으로 알려져 있습니다.

 

  Microsoft Windows 긴급 업데이트 : KB2718704 (2012.6.4)

 

이에 따라 마이크로소프트(Microsoft)사에서는 긴급 업데이트를 통해 3개의 인증서를 해지하는 조치를 1차적으로 진행하였습니다. 

그 후 2012년 6월 9일경 백그라운드 방식으로 "Windows Update 에이전트 7.6.7600.256" 업데이트를 강제적으로 설치하여 기존에 수동 업데이트를 실행한 경우에만 인증서 유효성 검사를 하는 방식을 버리고 1일 단위로 자동으로 인증서 유효성 검사를 하도록 정책을 변경하였습니다.

 

또한 현재의 윈도우 매니저 인증서 중 RSA 키 길이가 1,024 Bits보다 짧은 경우에는 2012년 8월경 업데이트를 통해 수정을 하여 앞으로 해킹에 의한 인증서 조작이 없도록 할 예정으로 확인되고 있습니다.

 

  Microsoft 제로데이 취약점 : CVE-2012-1889 (2012.6.13)

 

또 다른 소식으로 2012년 5월경 보고된 제로데이(0-Day) 취약점(CVE-2012-1889)을 이용하여 표적 공격이 이루어지고 있다는 것이 공식적으로 확인되었으며, 해당 취약점에 대한 보안 패치가 현재 공개되지 않았으므로 Internet Explorer 웹 브라우저를 사용하시는 분들은 "Microsoft Fix it 50897" 임시 조치를 통해 악성코드에 감염되지 않도록 각별히 주의하시기 바랍니다.