울지않는벌새 : Security, Movie & Society

2015년 8월 마이크로소프트(Microsoft) 정기 보안 업데이트

벌새::Security

마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2015년 8월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft .NET Framework, Microsoft Office, Microsoft Lync, Microsoft Silverlight, Microsoft Server 소프트웨어 제품군에서 발견된 58건의 보안 취약점에 대한 14개의 보안 패치가 포함되어 있습니다.

기본적으로 Windows 운영 체제에서는 중요 업데이트는 자동으로 다운로드 및 설치가 진행되며, 만약 업데이트 설치 방식을 변경한 경우에는 Windows Update 메뉴의 업데이트 확인 기능을 통해 제공되는 패치를 확인하여 수동으로 설치를 진행하시기 바랍니다.

 

■ 2015년 8월 정기 보안 업데이트 이슈 정리

 

(1) Microsoft Office 메모리 손상 취약점(CVE-2015-1642)을 이용한 원격 코드 실행 문제 해결

 

공격자가 Microsoft Office 제품의 메모리 개체를 제대로 처리하지 못하는 문제를 이용하여 메일에 첨부된 악의적으로 조작된 문서를 오픈하도록 하거나, 특정 웹 사이트 접속을 통해 특수한 파일을 열도록 유도하여 코드 실행을 할 수 있는 보안 문제를 MS15-081 보안 패치를 통해 해결하였습니다.

 

마이크로소프트(Microsoft) 업체에서는 해당 보안 취약점을 이용한 악용 행위가 있었던 것으로 파악하고 있습니다.

 

(2) Mount Manager의 권한 상승 취약점(CVE-2015-1769)을 이용한 바이너리 작성 문제 해결

과거 국가 차원에서 이루어진 이란(Iran) 핵발전소 공격에 사용된 스턱스넷(Stuxnet) 악성코드 감염 방식에 활용된 USB 저장 매체의 취약점 방식처럼 또 다시 익명의 공격자가 악성 USB 기기를 PC와 연결시킬 경우 Mount Manager 구성 요소가 심볼 링크를 부적절하게 처리하는 경우 권한 상승 취약점을 통한 바이너리 작성이 가능한 사이버 공격이 확인되어 MS15-085 보안 패치를 통해 해결하였습니다.

 

(3) Microsoft Edge 웹 브라우저의 메모리 손상 취약점을 이용한 원격 코드 실행 문제 해결

 

Windows 10 운영 체제에 새롭게 추가된 Microsoft Edge 웹 브라우저에서 발견된 메모리 손상 취약점(CVE-2015-2441, CVE-2015-2442, CVE-2015-2446)을 통한 원격 코드 실행 문제를 MS15-091 보안 패치를 통해 해결하였습니다.

 

Windows 8, Windows 8.1, Windows 10 운영 체제를 위한 Adobe Flash Player 플러그인 업데이트 정보

Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전, Windows 10 운영 체제용 Microsoft Edge, Internet Explorer 11 버전 웹 브라우저 사용자는 Windows Update 자동 업데이트 기능(KB3087916)을 통해 "Adobe Flash Player 18.0.0.209 버전 → Adobe Flash Player 18.0.0.232 버전"으로 업데이트 되었습니다.

 

2015년 8월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830

2015년 8월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 Win32/Critroni, Win32/Kasidet, Win32/Vawtrak 악성코드에 대한 진단이 추가되었습니다.

 

Win32/Critroni 악성코드는 Spammer:Win32/Tedroo 악성코드 또는 Exploit Kit을 통해 보안 취약점이 존재하는 PC를 대상으로 CTB-Locker 랜섬웨어(Ransomware)을 감염시켜 특정 파일 확장명을 가진 파일을 암호화하여 금전을 요구합니다.

 

Win32/Kasidet 악성코드는 Exploit Kit, 스팸 메일 첨부 파일, 감염된 USB 드라이브를 통해 감염이 이루어질 수 있으며, PC 정보 및 신용 카드 정보를 외부로 유출하며 USB 드라이브 감염을 통해 전파 기능을 가지고 있습니다.

 

Win32/Vawtrak 악성코드는 스팸 메일 첨부 파일, Exploit Kit, 매크로(Macro) 악성코드를 통해 전파되며, 시스템 드라이브의 볼륨(Volume) 시리얼 번호를 사용하는 LCG(Linear Congruential Generator) 알고리즘 방식으로 랜덤(Random)한 폴더명과 파일명으로 "C:\ProgramData\(랜덤한 폴더명)\(랜덤한 파일명).dat" 추가되며, 구성값 정보는 레지스트리에 동일한 방식으로 저장합니다.

 

이를 통해 chrome.exe, explore.exe, firefox.exe, iexplore.exe 프로세스에 dat 악성 파일(DLL 모듈)을 인젝션하여 특정 서버 접속와의 통신, 키로깅(Keylogging), 화면 캡처, 원격 명령 실행, 추가적인 악성 파일 다운로드 및 실행, 디지털 인증서 탈취, IE/Firefox 쿠키 유출, 다양한 FTP 프로그램의 계정 정보 수집 등의 정보 유출 기능을 가지고 있습니다.

 

2015년 8월 정기 보안 업데이트 세부 정보

 

(1) MS15-079 : Internet Explorer용 누적 보안 업데이트(3082442) - 긴급

  • CVE-2015-2423 : 안전하지 않은 명령줄 매개 변수 전달 취약성
  • CVE-2015-2441, CVE-2015-2442, CVE-2015-2443, CVE-2015-2444, CVE-2015-2446, CVE-2015-2447, CVE-2015-2448, CVE-2015-2450, CVE-2015-2451, CVE-2015-2452 : 메모리 손상 취약성
  • CVE-2015-2445, CVE-2015-2449 : ASLR 우회

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(2) MS15-080 : Microsoft 그래픽 구성 요소의 취약성으로 인한 원격 코드 실행 문제(3078662) - 긴급

  • CVE-2015-2431 : Microsoft Office 그래픽 구성 요소 원격 코드 실행 취약성
  • CVE-2015-2432 : OpenType 글꼴 구문 분석 취약성
  • CVE-2015-2433 : 커널 ASLR 우회 취약성
  • CVE-2015-2435 : TrueType 글꼴 구문 분석 취약성
  • CVE-2015-2453 : Windows CSRSS 권한 상승 취약성
  • CVE-2015-2454 : Windows KMD 보안 기능 우회 취약성
  • CVE-2015-2455, CVE-2015-2456 : TrueType 글꼴 구문 분석 취약성
  • CVE-2015-2458, CVE-2015-2459, CVE-2015-2460, CVE-2015-2461, CVE-2015-2462 : OpenType 글꼴 구문 분석 취약성
  • CVE-2015-2463, CVE-2015-2464 : TrueType 글꼴 구문 분석 취약성
  • CVE-2015-2465 : Windows 셸 보안 기능 우회 취약성

이 보안 업데이트는 Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync 및 Microsoft Silverlight의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 문서를 열거나 포함된 트루타입 또는 OpenType 글꼴이 있는 신뢰할 수 없는 웹 페이지를 방문하는 경우 원격 코드 실행을 허용할 수 있습니다.

 

(3) MS15-081 : Microsoft Office의 취약성으로 인한 원격 코드 실행 문제(3080790) - 긴급

  • CVE-2015-1642 : Microsoft Office 메모리 손상 취약성
  • CVE-2015-2423 : 안전하지 않은 명령줄 매개 변수 전달 취약성
  • CVE-2015-2466 : Microsoft Office 원격 코드 실행 취약성
  • CVE-2015-2467, CVE-2015-2468, CVE-2015-2469 : Microsoft Office 메모리 손상 취약성
  • CVE-2015-2470 : Microsoft Office 정수 언더플로 취약성
  • CVE-2015-2477 : Microsoft Office 메모리 손상 취약성

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(4) MS15-082 : RDP의 취약성으로 인한 원격 코드 실행 문제(3080348) - 중요

  • CVE-2015-2472 : 원격 데스크톱 세션 호스트 스푸핑 취약성
  • CVE-2015-2473 : 원격 데스크톱 프로토콜 DLL 플랜팅 원격 코드 실행 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 공격자가 특수 제작된 DLL(동적 연결 라이브러리) 파일을 대상 사용자의 현재 작업 디렉터리에 먼저 넣은 다음 사용자에게 신뢰할 수 있는 DLL 파일을 로드하는 대신 공격자의 특수 제작된 DLL 파일을 로드하도록 디자인된 프로그램을 실행하거나 RDP(원격 데스크톱 프로토콜) 파일을 열도록 유도하는 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

 

(5) MS15-083 : 서버 메시지 블록의 취약성으로 인한 원격 코드 실행 문제(3073921) - 중요

  • CVE-2015-2474 : 서버 메시지 블록 메모리 손상 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 SMB 서버 오류 로깅에 특수 제작된 문자열을 보낼 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다.

 

(6) MS15-084 : XML Core Services의 취약성으로 인한 정보 유출 문제(3080129) - 중요

  • CVE-2015-2434, CVE-2015-2440, CVE-2015-2471 : MSXML 정보 유출 취약성

이 보안 업데이트는 Microsoft Windows 및 Microsoft Office의 취약성을 해결합니다. 이 취약성은 사용자가 특수 제작된 링크를 클릭하는 경우 메모리 주소를 노출하거나, SSL(Secure Sockets Layer) 2.0 사용을 명시적으로 허용함으로써 정보 유출을 허용할 수 있습니다. 하지만 어떠한 경우에도 공격자는 강제로 사용

자가 특수 제작된 링크를 클릭하도록 만들 수 없습니다. 공격자는 일반적으로 전자 메일 또는 인스턴트 메신저 메시지에서 유인물을 이용하여 사용자가 이 링크를 클릭하도록 유도해야 합니다.

 

(7) MS15-085 : Mount Manager의 취약성으로 인한 권한 상승 문제(3082487) - 중요

  • CVE-2015-1769 : Mount Manager의 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 대상 시스템에 악성 USB 장치를 삽입하는 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 그런 다음 공격자는 악성 바이너리를 디스크에 쓰고 실행할 수 있습니다.

 

(8) MS15-086 : System Center Operations Manager의 취약성으로 인한 권한 상승 문제(3075158) - 중요

  • CVE-2015-2420 : System Center Operations Manager 웹 콘솔 XSS 취약성

이 보안 업데이트는 Microsoft System Center Operations Manager의 취약성을 해결합니다. 이 취약성으로 인해 사용자가 특수 제작된 URL을 통해 영향을 받는 웹 사이트를 방문할 경우 권한 상승이 허용될 수 있습니다. 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 영향을 받는 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

 

(9) MS15-087 : UDDI 서비스의 취약성으로 인한 권한 상승 문제(3082459) - 중요

  • CVE-2015-2475 : UDDI 서비스 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 웹 페이지 검색 매개 변수에 악성 스크립트를 삽입하여 XSS(교차 사이트 스크립팅) 시나리오를 엔지니어링한 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 그러면 악성 스크립트가 실행되는 특수 제작된 웹 페이지에 사용자가 방문하게 됩니다.

 

(10) MS15-088 : 안전하지 않은 명령줄 매개 변수 전달로 인한 정보 유출 문제(3082458) - 중요

  • CVE-2015-2423 : 안전하지 않은 명령줄 매개 변수 전달 취약성

이 보안 업데이트는 Microsoft Windows, Internet Explorer 및 Microsoft Office의 정보 유출 취약성을 해결합니다. 이 취약성을 악용하기 위해 공격자는 먼저 Internet Explorer의 다른 취약성을 사용하여 샌드박스 프로세스에서 코드를 실행해야 합니다. 그런 다음 공격자는 안전하지 않은 명령줄 매개 변수로 메모장, Visio, PowerPoint, Excel 또는 Word를 실행하여 정보 유출이 일어나게 할 수 있습니다. 이 취약성으로부터 보호하기 위해 고객은 이 공지에서 제공되는 업데이트뿐만 아니라 MS15-079에서 제공되는 Internet Explorer용 업데이트도 적용해야 합니다. 마찬가지로, 영향받는 Microsoft Office 제품을 실행하는 고객은 MS15-081에서 제공되는 적용 가능한 업데이트도 설치해야 합니다.

 

(11) MS15-089 : WebDAV의 취약성으로 인한 정보 유출 문제(3076949) - 중요

  • CVE-2015-2476 : WebDAV 클라이언트 정보 유출 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 SSL 2.0이 사용되는 WebDAV 서버에 암호화된 SSL(Secure Socket Layer) 2.0 세션을 강제로 적용하고 메시지 가로채기(man-in-the-middle) 공격을 사용하여 암호화된 트래픽의 일부를 암호 해독하는 경우 이 취약성으로 인해 정보 유출이 허용될 수 있습니다.

 

(12) MS15-090 : Microsoft Windows의 취약성으로 인한 권한 상승 문제(3060716) - 중요

  • CVE-2015-2428 : Windows 개체 관리자 권한 상승 취약성
  • CVE-2015-2429 : Windows 레지스트리 권한 상승 취약성
  • CVE-2015-2430 : Windows 파일 시스템 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 영향받는 시스템에 로그온한 후 특수 제작된 응용 프로그램을 실행하거나 사용자에게 취약한 샌드박스 응용 프로그램을 호출하는 특수 제작된 파일을 열도록 유도할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있고, 이로 인해 공격자는 샌드박스를 이스케이프할 수 있습니다.

 

(13) MS15-091 : Microsoft Edge용 누적 보안 업데이트(3084525) - 긴급

  • CVE-2015-2441, CVE-2015-2442, CVE-2015-2446 : 메모리 손상 취약성
  • CVE-2015-2449 : ASLR 우회

이 보안 업데이트는 Microsoft Edge의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Microsoft Edge를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(14) MS15-092 : .NET Framework의 취약성으로 인한 권한 상승 문제(3086251) - 중요

  • CVE-2015-2479, CVE-2015-2480, CVE-2015-2481 : RyuJIT 최적화 권한 상승 취약성

이 보안 업데이트는 Microsoft .NET Framework의 취약성을 해결합니다. 사용자가 특수 제작된 .NET 응용 프로그램을 실행할 경우 이 취약성으로 인해 권한 상승이 허용될 수 있습니다. 하지만 어떠한 경우에도 공격자는 강제로 사용자가 이 응용 프로그램을 실행하도록 만들 수 없습니다. 공격자는 사용자가 이렇게 하도록 유도해야 합니다.

 

그러므로 Windows 운영 체제 및 Microsoft 소프트웨어가 설치된 모든 사용자는 Windows Update 기능을 통해 제공되는 보안 패치를 반드시 설치하시고 사용하시기 바랍니다.