마이크로소프트(Microsoft) 업체에서 Windows Update 기능을 통해 매월 정기적으로 제공하는 2014년 11월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft .NET Framework, Microsoft Server Software 제품군에서 발견된 33건의 보안 취약점에 대한 16개의 보안 패치가 포함되어 있습니다.(※ 현재 이례적으로 공개된 업데이트 정보 중에서 긴급/중요 등급으로 분류된 MS14-068, MS14-075 2개의 보안 패치에 대한 정보 미공개 및 보안 패치가 포함되어 있지 않으므로 차후 공개하도록 하겠습니다.)
■ 핵심 보안 취약점 및 업데이트 이슈
(1) CVE-2014-6352 : Windows OLE 원격 코드 실행 취약점
2014년 10월 22일경 공개된 Windows OLE 제로데이(0-Day) 취약점을 이용한 악성코드 유포와 관련한 보안 문제를 MS14-064 보안 패치를 통해 해결하였습니다.
(2) CVE-2014-4077 : Microsoft IME(일본어) 권한 상승 취약점
Microsoft IME(일본어)이 설치된 환경에서 Adobe Reader 프로그램으로 악의적으로 조작된 PDF 문서 파일을 오픈할 경우 문서 파일 내부에 존재하는 악성 DIC 파일을 사용하는 바이너리 하이젝킹을 통해 Adboe Reader 샌드박스 우회를 통해 관리자 권한을 획득할 수 있는 제로데이(0-Day) 취약점 문제를 MS14-078 보안 패치를 통해 해결하였습니다.
(3) CVE-2014-6332 : Windows OLE 자동화 배열 원격 코드 실행 취약점
IBM X-Force 연구원이 적어도 18년 동안 유효한 Microsoft Windows 운영 체제에서 원격 코드 실행이 가능한 보안 취약점을 발견하여 MS14-064 보안 패치를 통해 문제가 해결되었다는 소식입니다.
(4) CVE-2014-4149 : TypeFilterLevel 취약점
Microsoft .NET Framework 취약점을 이용하여 권한 상승 문제에 대한 세부적인 정보가 공개되었으며 해당 보안 문제는 MS14-072 보안 패치를 통해 해결되었습니다.
■ Internet Explorer 웹 브라우저의 MS Silverlight 플러그인 차단 정책 시행
2014년 9월 업데이트를 기점으로 Internet Explorer 웹 브라우저 환경에서 Oracle Java 플러그인 중 보안에 취약한 구버전을 사용할 경우 기본적으로 차단이 이루어지도록 보안 정책이 변경되었으며, 2014년 11월 업데이트를 통해 MS Silverlight 플러그인 중 보안에 취약한 구버전이 실행될 때 차단이 시작되었습니다.
이로 인하여 MS Silverlight 플러그인 실행이 필요한 특정 웹 콘텐츠를 동작시 "최신 상태가 아니므로 Silverlight이(가) 차단되었습니다. 업데이트가 필요합니다."라는 붉은색 경고 알림바가 생성됩니다.
위와 같은 플러그인 차단이 이루어지는 경우에는 반드시 "업데이트" 버튼을 클릭하여 최신 버전으로 업데이트를 진행하시기 바랍니다.
■ Windows 8, Windows 8.1 운영 체제를 위한 Adobe Flash Player 플러그인 업데이트 정보
Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전 웹 브라우저에 자체 내장된 Adobe Flash Player 플러그인에서 발견된 18건의 보안 취약점에 대해 "Adobe Flash Player 15.0.0.189 버전 → Adobe Flash Player 15.0.0.223 버전"으로 Windows Update 기능을 통해 KB3004150 패치가 이루어졌습니다.
■ 2014년 11월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830
2014년 11월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 Win32/Tofsee, Win32/Zoxpng 악성코드에 대한 진단이 추가되었습니다.
Win32/Tofsee 악성코드는 스팸(Spam) 메일의 첨부 파일을 통해 유포가 이루어지고 있으며, 감염시 C&C 서버로부터 수신된 명령에 따라 스팸(Spam) 메일 전송, DDoS 공격, Bitcoin 채굴 등의 악의적 기능을 수행할 수 있습니다.
Win32/Zoxpng 악성코드는 2014년 10월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에 추가된 Win32/Hikiti, Win32/Derusbi, Win32/Mdmbot, Win32/Moudoor, Win32/Plugx, Win32/Sensode 악성코드와 연관된 APT 공격에 사용된 백도어(Backdoor) 진단을 위한 추가 업데이트입니다.
■ 2014년 11월 Microsoft 정기 보안 업데이트 세부 정보
1. MS14-064 : Windows OLE의 취약점으로 인한 원격 코드 실행 문제점 (3011443) - 긴급
- CVE-2014-6332 : Windows OLE 자동화 배열 원격 코드 실행 취약점
- CVE-2014-6352 : Windows OLE 원격 코드 실행 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows 개체 연결 및 포함 (OLE)에 대한 취약점 2 건을 해결합니다. 해당 취약점으로 인해 사용자가 특수하게 조작된 OLE 개체를 포함하는 Microsoft Office 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의로 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한으로 로그인 한 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경, 삭제, 또는 관리자 권한이 있는 새 계정 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 사용자에 비해서는 영향을 적게 받습니다.
2. MS14-065 : Internet Explorer 용 누적 보안 업데이트 (3003057) - 긴급
-
CVE-2014-4143, CVE-2014-6337, CVE-2014-6341, CVE-2014-6342, CVE-2014-6343, CVE-2014-6344, CVE-2014-6347, CVE-2014-6348, CVE-2014-6351, CVE-2014-6353 : Internet Explorer 메모리 손상 취약점
-
CVE-2014-6323 : Internet Explorer 클립보드 정보 유출 취약점
-
CVE-2014-6339 : Internet Explorer ASLR 우회 취약점
-
CVE-2014-6340, CVE-2014-6345, CVE-2014-6346 : Internet Explorer 도메인 간 정보 유출 취약점
-
CVE-2014-6349, CVE-2014-6350 : Internet Explorer 권한 상승 취약점
이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 17건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.
3. MS14-066 : Schannel의 취약점으로 인한 원격 코드 실행 문제점(2992611) - 긴급
-
CVE-2014-6321 : Microsoft 보안 채널 원격 코드 실행 취약점
이 보안 업데이트는 Windows의 Microsoft 보안 채널 (Schannel) 보안 패키지는 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 Windows 서버에 특수하게 조작한 패킷을 보내는 경우 원격 코드 실행이 발생할 수 있습니다.
4. MS14-067 : XML Core Services의 취약점으로 인한 원격 코드 실행 문제점 (2993958) - 긴급
- CVE-2014-4118 : MSXML 원격 코드 실행 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 로그온한 사용자가 Internet Explorer를 통해 MSXML (Microsoft XML Core Services)이 실행되도록 특수하게 조작된 웹 사이트 방문하는 경우 원격 코드가 실행될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 웹 사이트 방문하도록 만들 수 없습니다. 대신 공격자는 전자 메일 메시지 또는 메신저 요청의 사용자가 공격자의 웹 사이트에 있는 링크를 클릭하여 웹 사이트를 방문 하도록 유도 해야 합니다.
5. MS14-068 : Kerberos의 취약점으로 인한 권한 상승 문제점(3011780) - 긴급
- CVE-2014-6324 : Kerberos 체크섬 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows Kerberos KDC에 대한 취약점 1건을 해결합니다. 해당 취약점으로 인하여 공격자는 도메인 관리자 계정에 대하여 비인가된 도메인 사용자 계정에 대한 권한 상승을 허용할 수 있습니다. 공격자는 권한 상승된 계정을 이용하여 도메인 내의 컴퓨터를 변조할 수 있습니다. 해당 취약점을 악용하기 위해서는 공격자는 반드시 유효한 도메인 인증서를 가지고 있어야 합니다. 취약점 악용에 성공한 공격자는 도메인 인증서를 가진 표준 사용자 계정을 가진 사용자를 원격에서 조절할 수 있지만 로컬 계정 인증서를 가진 사용자의 경우에는 해당되지 않습니다. 현재 해당 취약점을 이용한 제한적인 표적 공격이 보고되고 있습니다.
6. MS14-069 : Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (3009710) - 중요
- CVE-2014-6333 : Microsoft Office 이중 삭제 원격 코드 실행 취약점
- CVE-2014-6334 : Microsoft Office 배드 인덱스 원격 코드 실행 취약점
- CVE-2014-6335 : Microsoft Office 무효 포인터 원격 코드 실행 취약점
이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 3건을 해결합니다. 이 취약점으로 인해 영향을 받는 버전의 Microsoft Office 2007에서 특수하게 조작 된 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향 적게 받습니다.
7. MS14-070 : TCP/IP의 취약점으로 인한 권한 상승 문제점 (2989935) - 중요
- CVE-2014-4076 : TCP/IP 권한 상승 취약점
이 보안 업데이트는 공개적으로 보고된 TCP/IP의 입/출력 제어 (IOCTL) 프로세싱에 대한 취약점을 해결합니다. 이 취약점은 공격자가 시스템에 로그온하여 특수하게 조작된 응용 프로그램을 실행하는 경우에 권한 상승이 발생할 수 있습니다.이 취약점 악용에 성공한 공격자는 다른 프로세스의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 프로세스가 관리자 권한으로 실행되는 경우 공격자가 프로그램을 설치할 수 있을 뿐만 아니라 보기, 변경, 데이터 삭제 및 모든 사용자 권한으로 새 계정을 만들 수 있습니다.
8. MS14-071 : Windows 오디오 서비스의 취약점으로 인한 권한 상승 문제점 (3005607) - 중요
- CVE-2014-6322 : Windows 오디오 서비스 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 응용 프로그램이 Microsoft Windows 오디오 서비스를 사용할 때 권한 상승 취약점이 있습니다. 이 취약점만으로는 임의의 코드 실행을 할 수 없습니다. 그러나 공격자는 이 취약점을 원격 코드 실행을 허용하는 또 다른 취약점과 연결하여 악용할 수 있습니다.
9. MS14-072 : .NET Framework 취약점으로 인한 권한 상승 문제점 (3005210) - 중요
- CVE-2014-4149 : TypeFilterLevel 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft.NET Framework의 취약점을 해결합니다. 이 취약점은 공격자가 영향을 받는 워크스테이션 또는.NET Remoting을 사용하여 서버에 특수하게 조작된 데이터를 보내는 경우 권한 상승이 허용될 수 있습니다. .NET remoting 응용 프로그램에서 널리 사용 되지 않습니다. 시스템 취약점을 노출시키는 .NET Remoting은 사용자 지정 응용 프로그램에만 사용하도록 특별히 설계되었습니다.
10. MS14-073 : Microsoft SharePoint Foundation의 취약점으로 인한 권한 상승 (3000431) - 중요
- CVE-2014-4116 : SharePoint 권한 상승 취약점
이 보안 업데이트는 Microsoft SharePoint Server의 비공개적으로 보고된 취약점을 해결합니다. 이 취약점 악용에 성공한 인증된 공격자는 현재의 SharePoint 사이트의 사용자 컨텍스트에서 임의의 스크립트 실행할 수 있습니다. 웹 기반 공격 시나리오에서 공격자는 이러한 취약점을 악용하도록 설계된 특수하게 조작된 웹 사이트를 호스팅하여 사용자가 이 웹사이트를 보도록 유도할 수 있습니다. 공격자는 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스팅하는 웹 사이트와 공격에 노출된 웹 사이트를 이용할 수도 있습니다. 이러한 웹 사이트에는 취약점을 악용하는 특수하게 조작된 콘텐츠가 포함될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 공격자 제어 콘텐츠를 보도록 만들 수는 없습니다. 대신 공격자는 일반적으로 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하게 하거나 전자 메일을 통해 보낸 첨부 파일을 열어서 어떤 행동을 수행하도록 유도 해야 합니다.
11. MS14-074 : 원격 데스크톱 프로토콜의 취약점으로 인한 보안 기능 우회 (3003743) - 중요
- CVE-2014-6318 : 원격 데스크톱 프로토콜 (RDP) 감사 실패 취약점
이 보안 업데이트는 비공개적으로 보고 된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 원격 데스크톱 프로토콜 (RDP)이 제대로 감사 이벤트를 기록 하지 못하는 경우 보안 기능을 우회하는 것이 허용될 수 있습니다. RDP는 모든 Windows 운영 체제에서 기본으로 비활성화 되어 있습니다. RDP가 기본으로 활성화되어 있지 않은 시스템은 취약하지 않습니다.
12. MS14-075 : Microsoft Exchange Server의 취약성으로 인한 권한 상승 문제(3009712) - 중요
해당 보안 패치는 2014년 12월 정기 보안 업데이트에서 이루어졌으므로 관련 내용을 참고하시기 바랍니다.
13. MS14-076 : 인터넷 정보 서비스 (IIS)의 취약점으로 인한 보안 기능 우회 (2982998) - 중요
- CVE-2014-4078 : IIS 보안 기능 위회 취약점
이 보안 업데이트는 Microsoft에 비공개적으로 보고된 인터넷 정보 서비스 (IIS)의 "IP 및 도메인 제한" 보안 기능을 우회 할 수 있는 취약점을 해결 합니다. 이 취약점 악용에 성공한 경우에 제한된 도메인 또는 차단된 도메인의 제한된 웹 리소스에 접근 할 수 있습니다.
14. MS14-077 : Active Directory Federation Services의 취약점으로 인한 정보 유출 문제점 (3003381) - 중요
- CVE-2014-6331 : Active Directory Federation Services 정보 유출 취약점
이 보안 업데이트는 비공개적으로 보고된 Active Directory Federation Services(ADFS)의 취약점을 해결합니다. 이 취약점은 사용자가 어플리케이션 로그 오프 후 브라우저를 그대로 열어둔 경우에 공격자는 사용가 로그 오프 후에 즉시 브라우저에서 어플리케이션을 다시 실행시켜 정보 유출을 허용할 수 있습니다.
15. MS14-078 : Microsoft IME(일본어)의 취약점으로 인한 권한 상승 문제점 (2992719) - 보통
- CVE-2014-4077 : Microsoft IME(일본어) 권한 상승 취약점
이 보안 업데이트는 Microsoft IME(일본어)에서 비공개적으로 보고된 취약점을 해결합니다. 이 취약점은 Microsoft IME(일본어)의 영향을 받는 버전이 설치된 시스템에서 응용 프로그램 샌드박스 정책에 따라 샌드박스 예외 처리를 허용할 수 있습니다. 이 취약점을 성공적으로 악용한 공격자는 취약한 응용 프로그램의 샌드박스를 벗어나 로그인한 사용자 권한으로 영향을 받는 시스템에 액세스할 수 있습니다. 영향을 받은 시스템이 관리자 권한으로 로그인된 경우 공격자는 프로그램을 설치하여 데이터를 보거나 변경하거나 삭제하거나, 모든 관리자 권한이 있는 새 계정을 만들 수도 있습니다.
16. MS14-079 : 커널 모드 드라이버의 취약점으로 인한 서비스 거부 문제점 (3002885) - 보통
- CVE-2014-6317 : Windows 커널 모드 드라이버의 서비스 거부 취약점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 공격자가 네트워크 공유에 특수하게 조작된 TrueType 글꼴을 배치하여 사용자가 Windows 탐색기에서 이를 열어 볼때 서비스 거부 취약점을 허용할 수 있습니다. 웹을 통한 공격의 경우 공격자는 이 취약점 악용 시도할 수 있는 웹페이지를 포함한 웹사이트를 호스팅할 수 있습니다. 또한 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 이러한 웹사이트를 방문하도록 할수는 없습니다. 대신 공격자는 사용자가 이러한 웹사이트를 방문하도록 유도해야 하며, 일반적으로 사용자를 공격자의 웹사이트로 유인하는 전자 메일 메시지 또는 인스턴트 메신저 메세지에 포함된 링크를 클릭하도록 하는 방법을 사용합니다.
그 외에 Windows 7 운영 체제 기준으로 1건의 Windows 안정성 업데이트가 포함되어 있습니다.
◆ Windows 7용 업데이트(KB3008627) : Unexpected UAC prompt after you install update 2918614 in Windows
Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008 운영 체제에서 MS14-049(KB2918614) 보안 업데이트 이전에 설치한 응용 소프트웨어를 변경하려고 할 때 사용자 계정 컨트롤(UAC) 알림창이 생성되는 문제를 해결하였습니다.
그러므로 모든 Windows 운영 체제 사용자는 Windows Update 기능을 통해 정기적으로 제공되는 보안 패치를 반드시 설치하여 취약점(Exploit)을 이용한 악성코드 감염을 예방하시기 바랍니다.