본문 바로가기

벌새::Security

2015년 2월 마이크로소프트(Microsoft) 정기 보안 업데이트 (2015.2.11)

반응형

마이크로소프트(Microsoft) 업체에서 Windows Update 기능을 통해 매월 정기적으로 제공하는 2015년 2월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft Server 소프트웨어 제품에서 발견된 56건의 보안 취약점에 대한 9개의 보안 패치가 포함되어 있습니다.

■ 2015년 2월 정기 보안 업데이트 이슈 정리

 

1. 공개된 보안 취약점 정보

  1. CVE-2014-8967 : Internet Explorer 메모리 손상 취약성
  2. CVE-2015-0071 : Internet Explorer ASLR 우회 취약성 → 제한적인 사이버 공격에 악용
  3. CVE-2015-0010 : CNG 보안 기능 우회 취약성
  4. CVE-2014-6362 : Microsoft Office 구성 요소 해제 후 사용 취약성

2. CVE-2015-0008 : 그룹 정책 원격 코드 실행 취약성

마이크로소프트(Microsoft) 업체는 2014년 1월 보고된 일명 JASBUG 취약점 문제를 MS15-011 보안 패치를 통해 수정하였습니다.

 

3. MS14-083 보안 패치 수정

 

2014년 12월 정기 보안 업데이트를 통해 패치된 MS14-083(Microsoft Excel의 취약성으로 인한 원격 코드 실행 문제) 보안 패치가 수정되었습니다.

 

4. CVE-2014-3566 보안 취약점 추가 정보

 

SSL3.0 보안 프로토콜 취약점(CVE-2014-3566)으로 인한 정보 노출 문제로 인해 Internet Explorer 11 웹 브라우저에서 기본적으로 비활성화 처리하였으며, 2015년 4월 정기 보안 업데이트에서는 모든 Internet Explorer 웹 브라우저에서도 비활성할 예정입니다.

 

2015년 2월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830

2015년 2월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 Win32/Escad, Win32/Jinupd, Win32/NukeSped 3종의 악성코드에 대한 진단이 추가되었습니다.

 

1. Win32/Escad

 

해당 악성코드는 2014년 12월경부터 활발하게 유포가 이루어지고 있으며, 감염된 시스템에서 프락시(Proxy) 서버, 파일 전송 및 다운로드, 특정 폴더 감시, 시스템 정보(PC 이름, TCP 연결 및 네트워크 어댑터) 수집, 방화벽 및 IP 설정 변경과 같은 기능을 통해 민감한 정보를 수집하는 백도어(Backdoor)입니다.

 

2. Win32/Jinupd

 

해당 악성코드는 POS(Point-of-Sale) 시스템을 표적으로 신용카드와 같은 민감한 정보를 수집하여 외부로 유출하는 기능을 수행합니다.

 

3. Win32/NukeSped

 

Win32/Escad 악성코드에 감염된 시스템에서 추가 감염을 통해 발견되는 다양한 변종으로 Trojan:Win32/NukeSped.A!dha 드랍퍼(Dropper)를 통해 comon32.exe, diskpartmg16.exe, dpnsvr16.exe, expandmn32.exe, hwrcompsvc64.exe, mobsynclm64.exe, rdpshellex32.exe, recdiscm32.exe, taskchg16.exe, taskhosts64.exe 악성 파일을 통해 WinsSchMgmt 서비스를 등록하여 자동 실행됩니다.

 

이를 통해 인터넷 연결 체크, 추가적인 악성 파일 다운로드 및 실행, 특정 폴더 액세스, 구성값 및 명령 수신, 정보 수집 및 업로드 등의 기능을 수행할 수 있습니다.

 

특히 Trojan:Win32/NukeSped.B!dha 드랍퍼(Dropper)를 통해 생성된 igfxtrayex.exe 악성 파일은 brmgmtsvc 서비스를 등록하여 자동 실행되며 합법적인 파일을 통해 MBR(Master Boot Record) 섹터를 수정하여 부팅을 할 수 없도록 하며 MSExchangeIS, MSDEPSVC, SSIS, SSRS, Termservice, W3SVC, WMServer 서비스 값의 기능을 중지시킵니다.

관련 이슈로는 2014년 연말에 발생한 북한(North Korea)에 의한 소니(Sony) 해킹 사건과 관련된 악성코드임을 알 수 있으며, Trojan:Win32/NukeSped.B!dha 드랍퍼(Dropper)를 통해 생성된 iissvr.exe 악성 파일(Trojan:Win32/NukeSped.C!dha)은 감염된 시스템에 이미지와 음악 파일이 삽입된 HTML 페이지를 생성하여 자신들의 존재에 대해 알리는 모습을 확인할 수 있습니다.

 

■ 2015년 2월 정기 보안 업데이트 세부 정보

 

1. MS15-009 : Internet Explorer용 보안 업데이트(3034682) - 긴급

  • CVE-2014-8967, CVE-2015-0017, CVE-2015-0018, CVE-2015-0019, CVE-2015-0020, CVE-2015-0021, CVE-2015-0022, CVE-2015-0023, CVE-2015-0025. CVE-2015-0026, CVE-2015-0027, CVE-2015-0028, CVE-2015-0029, CVE-2015-0030, CVE-2015-0031, CVE-2015-0035, CVE-2015-0036, CVE-2015-0037, CVE-2015-0038, CVE-2015-0039, CVE-2015-0040, CVE-2015-0041, CVE-2015-0042, CVE-2015-0043, CVE-2015-0044, CVE-2015-0045, CVE-2015-0046, CVE-2015-0048, CVE-2015-0049, CVE-2015-0050, CVE-2015-0052, CVE-2015-0053, CVE-2015-0066, CVE-2015-0067, CVE-2015-0068 : Internet Explorer 메모리 손상 취약성
  • CVE-2015-0051, CVE-2015-0069, CVE-2015-0071 : Internet Explorer ASLR 우회 취약성
  • CVE-2015-0054, CVE-2015-0055 : Internet Explorer 권한 상승 취약성
  • CVE-2015-0070 : Internet Explorer 도메인 간 정보 공개 취약성

이 보안 업데이트는 Internet Explorer의 공개된 취약성 1건과 비공개적으로 보고된 취약성 40건을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

2. MS15-010 : Windows 커널 모드 드라이버의 취약성으로 인한 원격 코드 실행 문제(3036220) - 긴급

  • CVE-2015-0057 : Win32k 권한 상승 취약성
  • CVE-2015-0058 : Windows 커서 개체 Double Free 취약성
  • CVE-2015-0059 : 트루타입 글꼴 구문 분석 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows의 공개된 취약성 1건과 비공개적으로 보고된 취약성 5건을 해결합니다. 공격자가 사용자에게 특수 제작된 문서를 열거나 포함된 트루타입 글꼴이 있는 신뢰할 수 없는 웹 사이트를 방문하도록 유도할 경우 가장 심각한 취약성은 원격 코드 실행을 허용할 수 있습니다.

 

3. MS15-011 : 그룹 정책의 취약성으로 인한 원격 코드 실행 문제(3000483) - 긴급

  • CVE-2015-0008 : 그룹 정책 원격 코드 실행 취약성

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다. 도메인 구성 시스템을 사용하는 사용자가 공격자 제어 네트워크에 연결하도록 공격자가 유도하는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

 

4. MS15-012 : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3032328) - 중요

  • CVE-2015-0063 : Excel 원격 코드 실행 취약성
  • CVE-2015-0064 : Office 원격 코드 실행 취약성
  • CVE-2015-0065 : OneTableDocumentStream 원격 코드 실행 취약성

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약성 3건을 해결합니다. 사용자가 특수 제작된 Microsoft Office 파일을 열면 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

5. MS15-013 : Microsoft Office의 취약성으로 인한 보안 기능 우회 문제(3033857) - 중요

  • CVE-2014-6362 : Microsoft Office 구성 요소 해제 후 사용 취약성

이 보안 업데이트는 Microsoft Office의 공개된 취약성 1건을 해결합니다. 사용자가 특수 제작된 Microsoft Office 파일을 열면 이 취약성으로 인해 보안 기능 우회가 허용될 수 있습니다. 보안 기능을 우회하는 것만으로는 임의의 코드 실행이 허용되지 않지만 공격자는 이 보안 기능 우회 취약성을 원격 코드 실행 취약성 등과 같은 다른 취약성과 함께 사용하여 임의의 코드를 실행할 수 있습니다.

 

6. MS15-014 : 그룹 정책의 취약성으로 인한 보안 기능 우회 문제(3004361) - 중요

  • CVE-2015-0009 : 그룹 정책 보안 기능 우회 취약성

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다. 공격자가 메시지 가로채기(man-in-the-middle) 공격 방식으로, 대상 시스템의 그룹 정책 보안 구성 엔진 정책 파일이 손상되거나 읽을 수 없게 하면 이 취약성으로 인해 보안 기능 우회가 허용될 수 있습니다. 이로 인해 시스템의 그룹 정책 설정이 기본값으로 되돌아가고 잠재적으로 보안 수준이 낮아지게 됩니다.

 

7. MS15-015 : Microsoft Windows의 취약성으로 인한 권한 상승 문제(3031432) - 중요

  • CVE-2015-0062 : Windows 프로세스 만들기 권한 상승 취약성

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 공격자는 가장 수준 보안 검사 부족을 이용하여 프로세스 만들기 중에 권한을 상승시킬 수 있습니다. 이 취약성 악용에 성공한 인증된 공격자는 관리자 자격 증명을 얻고 이 자격 증명을 사용하여 권한을 상승시킬 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제하거나, 모든 관리자 권한이 있는 새 계정을 만들 수도 있습니다.

 

8. MS15-016 : Microsoft 그래픽 구성 요소의 취약성으로 인한 정보 공개 문제(3029944) - 중요

  • CVE-2015-0061 : TIFF 처리 정보 공개 취약성

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 TIFF 이미지가 포함된 웹 사이트로 이동할 경우 정보가 공개될 수 있습니다. 이 취약성으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 얻을 수 있습니다.

 

9. MS15-017 : Virtual Machine Manager의 취약성으로 인한 권한 상승 문제(3035898) - 중요

  • CVE-2015-0012 : Virtual Machine Manager 권한 상승 취약성

이 보안 업데이트는 비공개적으로 보고된 VMM(Virtual Machine Manager)의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 영향받는 시스템에 로그온하는 경우 권한 상승이 허용될 수 있습니다. 이 취약성을 악용하려면 공격자가 유효한 Active Directory 로그온 자격 증명을 가지고 있고 해당 자격 증명으로 로그온할 수 있어야 합니다.

 

■ Windows 안정성 업데이트 세부 정보 (Windows 7 운영 체제 기준)

 

1. Windows 7용 업데이트(KB3004394) : Support for urgent Trusted Root updates for Windows Root Certificate Program in Windows

 

Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7, Windows Server 2008 R2 운영 체제의 윈도우 루트 인증서 프로그램(Windows Root Certificate Program)에 대한 긴급 업데이트가 포함되어 있습니다.

 

2. Windows 7용 업데이트(KB3020338) : Line of business applications cannot start after you apply update 3006226 in Windows

 

Windows Server 2012 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows 8, Windows RT, Windows Server 2008 R2 Service Pack 1 (SP1), Windows 7 SP1, Windows Embedded Standard 7 SP1, Windows Server 2008 Service Pack 2 (SP2), Windows Vista SP2, Windows Server 2003 SP2 운영 체제에서 MS14-064 보안 업데이트(KB3006226) 이후 SafeArrayRedim 기능을 사용하는 애플리케이션을 시작할 수 없는 문제를 해결하였습니다.

 

3. Windows 7용 업데이트(KB3021917) : Update to Windows 7 SP1 for performance improvements

 

Windows 7 Service Pack 1 (SP1) 운영 체제의 성능 향상을 위한 업데이트이며, 현재 보류 상태입니다.

하지만 현재 Windows 10 Technical Preview, Windows 8.1, Windows 7 운영 체제용 Internet Explorer 11 버전에서 발견된 XSS 제로데이(0-Day) 취약점에 의한 피싱(Phishing) 공격에 활용될 수 있는 문제에 대한 보안 패치가 포함되어 있지 않으므로 매우 주의할 필요가 있습니다.

728x90
반응형