울지않는벌새 : Security, Movie & Society

2015년 10월 마이크로소프트(Microsoft) 정기 보안 업데이트

벌새::Security

마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2015년 10월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Services 및 Web Apps, Microsoft Server 소프트웨어 제품군에서 발견된 33건의 보안 취약점에 대한 6개의 보안 패치가 포함되어 있습니다.

■ Windows 8, Windows 8.1, Windows 10 운영 체제용 Internet Explorer, Microsoft Edge 웹 브라우저를 위한 Adobe Flash Player 업데이트 정보

Windows 8 운영 체제용 Internet Explorer 10 버전, Windows 8.1 운영 체제용 Internet Explorer 11 버전, Windows 10 운영 체제용 Internet Explorer 11 버전 및 Microsoft Edge 웹 브라우저 사용자는 Windows Update 자동 업데이트 기능(KB3099406)을 통해 "Adobe Flash Player 19.0.0.185 버전 → Adobe Flash Player 19.0.0.207 버전"으로 업데이트 되었습니다.

 

2015년 10월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830

2015년 10월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 다음과 같은 7종의 악성코드에 대한 진단이 추가되었습니다.

  1. Win32/Blakamba : SoftwareBundler:Win32/InstalleRex 진단명의 해외 악성 광고 프로그램(PUP) 설치시 함께 설치되어 특정 웹 서버로부터 추가적인 악성 파일 다운로드 기능을 수행합니다.
  2. Win32/Brambul : 스팸(Spam) 메일 첨부 파일을 통해 감염되어 공유된 네트워크 환경에 접근할 목적으로 사전에 입력된 사용자 이름과 비밀번호를 무작위 대입하여 악성 파일을 전파할 수 있습니다.
  3. Win32/Diplugem : AllSaver, CutThePrice, PriceChop, SaverExtension, UniSales, YouTubeAdBlocker와 같은 해외 악성 광고 프로그램을 통해 사용자 동의없이 웹 브라우저 확장 프로그램을 추가하여 웹 브라우저 이용시 광고를 생성합니다.
  4. Win32/Drixed : 스팸(Spam) 메일에 첨부된 Microsoft Office 문서 파일을 오픈시 악성 매크로(Macro) 실행을 통해 시스템을 감염하여 웹 브라우저 모니터링을 통한 온라인뱅킹 인증서 탈취 및 민감한 정보를 수집하여 원격 서버에 전송하며 다수의 보안 제품 무력화 및 원격 제어가 가능하다.
  5. Win32/Escad : 감염된 환경에서 공격자가 시스템 접근 및 원격 제어를 통한 악의적 행위(Proxy 서버 구성, 파일 복사 및 원격 IP 주소로 전송, 파일 다운로드, 정보 수집, 방화벽 설정 변경, IP 주소 설정 변경)를 수행할 수 있습니다.
  6. Win32/Joanap : 감염된 환경에서 공격자가 시스템 접근 및 원격 제어를 통한 악의적 행위(파일 다운로드/업로드, 파일 실행, 프로세스 중지, 파일 이름 변경 및 이동, 폴더 생성 및 삭제)를 수행할 수 있습니다.
  7. Win32/Tescrypt : 2015년 초부터 확인된 TeslaCrypt 랜섬웨어(Ransomware)는 Angler, Nuclear, Fiesta, Sweet Orange 취약점(Exploit) 도구를 이용하여 유포가 이루어지고 있으며 감염된 환경에서는 문서, 그림, 음악, 동영상, 압축 파일 등을 암호화(.ecc 또는 .ezz 확장명)하여 Bitcoin 가상 화폐로 결제를 요구합니다. 특히 Talos TeslaCrypt Decryptor 복구 도구가 공개된 이후에는 로컬에 저장하던 Private Key를 레지스트리 영역에 Key를 저장하는 방식으로 변경되었습니다.

■ 2015년 10월 정기 보안 업데이트 세부 정보

 

(1) MS15-106 : Internet Explorer용 누적 보안 업데이트(3096441) - 긴급

  • CVE-2015-2482, CVE-2015-6055, CVE-2015-6056 : 스크립팅 엔진 메모리 손상 취약성
  • CVE-2015-6042, CVE-2015-6048, CVE-2015-6049, CVE-2015-6050 : Internet Explorer 메모리 손상 취약성
  • CVE-2015-6044, CVE-2015-6047, CVE-2015-6051 : Internet Explorer 권한 상승 취약성
  • CVE-2015-6046, CVE-2015-6053 : Internet Explorer 정보 유출 취약성
  • CVE-2015-6052 : VBScript 및 JScript ASLR 우회
  • CVE-2015-6059 : 스크립팅 엔진 정보 유출 취약성

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(2) MS15-107 : Microsoft Edge용 누적 보안 업데이트(3096448) - 중요

  • CVE-2015-6057 : Microsoft Edge 정보 유출 취약성
  • CVE-2015-6058 : Microsoft Edge XSS 필터 우회

이 보안 업데이트는 Microsoft Edge의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Microsoft Edge를 사용하여 특수 제작된 웹 페이지를 볼 경우 정보 유출을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(3) MS15-108 : 원격 코드 실행을 해결하기 위한 JScript 및 VBScript에 대한 보안 업데이트(3089659) - 긴급

  • CVE-2015-2482, CVE-2015-6055 : 스크립팅 엔진 메모리 손상 취약성
  • CVE-2015-6052 : VBScript 및 Jscript ASLR 우회
  • CVE-2015-6059 : 스크립팅 엔진 정보 유출 취약성

이 보안 업데이트는 Microsoft Windows의 VBScript 및 JScript 스크립팅 엔진의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 공격자가 Internet Explorer를 통해 취약성을 악용하도록 디자인된 특수 제작된 웹 사이트를 호스트(또는 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스트하는 웹 사이트나 공격에 노출된 웹 사이트 이용)한 다음 사용자가 이 웹 사이트를 보도록 유도하는 경우 원격 코드 실행을 허용할 수 있습니다. 또한 공격자는 사용자가 특수 제작된 웹 사이트로 이동하도록 IE 렌더링 엔진을 사용하는 Microsoft Office 문서 또는 응용 프로그램에 "초기화하기 안전"이라고 표시된 ActiveX 컨트롤을 포함시킬 수 있습니다.

 

(4) MS15-109 : 원격 코드 실행을 해결하기 위한 Windows Shell에 대한 보안 업데이트(3096443) - 긴급

  • CVE-2015-2515 : 도구 모음 해제 후 사용 취약성
  • CVE-2015-2548 : Microsoft 태블릿 입력 밴드 해제 후 사용 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 사용자가 Windows에서 특수 제작된 도구 모음 개체를 열거나 공격자가 사용자에게 특수 제작된 콘텐츠를 온라인으로 보도록 유도하는 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다.

 

(5) MS15-110 : 원격 코드 실행을 해결하기 위한 Microsoft Office에 대한 보안 업데이트(3096440) - 중요

  • CVE-2015-2555, CVE-2015-2557, CVE-2015-2558 : Microsoft Office 메모리 손상 취약성
  • CVE-2015-2556 : Microsoft SharePoint 정보 유출 취약성
  • CVE-2015-6037 : Microsoft Office Web Apps XSS 스푸핑 취약성
  • CVE-2015-6039 : Microsoft SharePoint 보안 기능 우회 취약성

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.

 

(6) MS15-111 : 권한 상승을 해결하기 위한 Windows 커널에 대한 보안 업데이트(3096447) - 중요

  • CVE-2015-2549 : Windows 커널 메모리 손상 취약성
  • CVE-2015-2550 : Windows 권한 상승 취약성
  • CVE-2015-2552 : 신뢰할 수 있는 부팅 보안 기능 우회 취약성
  • CVE-2015-2553 : Windows 탑재 지점 권한 상승 취약성
  • CVE-2015-2554 : Windows 개체 참조 권한 상승 취약성

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이러한 취약성 중 더 위험한 취약성으로 인해 공격자가 영향받는 시스템에 로그온하여 특수 제작된 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다.

 

그러므로 Windows 운영 체제 및 Microsoft 소프트웨어 사용자는 Windows Update 기능을 통해 제공되는 보안 패치를 반드시 설치하시고 이용하시기 바랍니다.