2016년 11월 마이크로소프트(Microsoft) 정기 보안 업데이트

마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공하는 2016년 11월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Services 및 Web Apps, Microsoft SQL Server, Adobe Flash Player 제품군에서 발견된 76건의 보안 취약점 문제를 해결한 14개의 보안 패치가 포함되어 있습니다.

 

 

• <Microsoft Security TechCenter> 2016년 11월 Microsoft 보안 공지 요약 (2016.11.8)

 

■ 2016년 11월 보안 업데이트 핵심 정보

 

(1) Windows 10 Version 1607 누적 업데이트(KB3200970)

 

Windows 10 버전 1607 (OS 빌드14393.447) 업데이트에서는 다음과 같은 품질 개선 및 보안 패치가 포함되어 있습니다.

 

1. Improved the reliability of multimedia audio, Remote Desktop, and Internet Explorer 11.
2. Addressed issue that prevents users from connecting to a virtual private network (VPN).
3. Addressed issue with a scheduled task that doesn't run in Task Scheduler after reenabling.
4. Addressed issue to update the Access Point Name (APN) database.
5. Addressed issue with Japanese characters that are missing when converted by the Input Method Editor.
6. Addressed issue with the system tray showing no Wi-Fi connection even when Wi-Fi is present.
7. Addressed issue with Windows devices that disconnect from the Internet prematurely before users can complete their paid Wi-Fi purchase.
8. Addressed issue to update the new Belarusian ruble symbol to Br and the new ISO 4217 code to BYN.
9. Addressed additional issues with multimedia, Windows kernel, packaging release management, authentication, Microsoft Edge, Internet Explorer 11, Remote Desktop, Active Directory, wireless networking, Windows shell, graphics, enterprise security, and Microsoft HoloLens.
10. Security updates to Boot Manager, Windows operating system, kernel-mode drivers, Microsoft Edge, Internet Explorer 11, Microsoft Virtual Hard Drive, Common Log File System driver, Microsoft Video Control, Common Log File System driver, Windows authentication methods, Windows File Manager, and the Microsoft Graphics Component.

 

(2) Windows 10 Version 1511 누적 업데이트(KB3198586)

 

Windows 10 버전 1511 (OS 빌드 10586.679) 업데이트에서는 다음과 같은 품질 개선 및 보안 패치가 포함되어 있습니다.

 

1. Improved the reliability of the Windows shell, Microsoft Edge, and Internet Explorer 11.
2. Addressed issue with Japanese characters that are missing when converted by the Input Method Editor.
3. Addressed issue with systems that randomly stop applying UNC Hardening group policy, leaving systems vulnerable until restarted.
4. Addressed issue with proxy authentication that causes Windows Update downloads to fail.
5. Addressed issue that prevents users from accessing network resources after logon after they've installed KB3185614.
6. Addressed issue with point rendering in Internet Explorer 11 and Microsoft Edge.
7. Addressed issue where users can't navigate to Internet sites when a network is configured to use Web Proxy Auto Discovery (WPAD).
8. Addressed issue where users can't access Microsoft Store in an authenticated proxy environment.
9. Addressed additional issues with enterprise security, Internet Explorer 11, Remote Desktop, datacenter networking, Windows shell, filter driver, the Access Point Name (APN) database, and wireless networking.
10. Security updates to the Windows operating system, kernel-mode drivers, Microsoft Edge, Boot Manager, Internet Explorer 11, Common Log File System driver, Microsoft Virtual Hard Drive, Microsoft Video Control, Windows authentication methods, Windows File Manager, OpenType, and the Microsoft Graphics Component.

 

(3) CVE-2016-7255 : Win32k 권한 상승 취약성

 

2016년 10월 21일경 Google에 의해 발견되어 공개된 Adobe Flash Player (CVE-2016-7855)와 Microsoft Windows Kernel 제로데이(0-Day) 보안 취약점을 이용하여 미국 대통령 선거에 영향을 줄 목적으로 DNC(Democratic National Convention)와 클린턴(Clinton) 선거 캠프를 대상으로 러시아(Russian) 정부와 연관된 Strontium(일명 Fancy Bear, APT28) APT 조직이 제한적인 Spear Phishing 메일을 이용한 사이버 공격을 통해 정보 유출을 하였습니다.

 

• <Microsoft Malware Protection Center> Our commitment to our customers' security (2016.11.1)

 

해당 공격은 Chrome 웹 브라우저 사용자를 대상으로 진행되었으며, 마이크로소프트(Microsoft) 업체에 따르면 Microsoft Windows Kernel 제로데이(0-Day) 보안 취약점의 경우에는 Windows 10 RS1 버전 환경에서 Microsoft Edge 웹 브라우저를 사용할 경우 동작하지 않으며 MS16-135 보안 패치를 통해 문제가 해결되었습니다.

 

(4) CVE-2016-7256 : 오픈타입 글꼴 원격 코드 실행 취약성

 

악의적으로 제작된 웹사이트에 피해자가 접속할 경우 특수 제작된 글꼴(Font)을 부적절하게 처리하여 원격 코드 실행이 이루어지게 하거나, 악의적으로 제작된 문서 파일을 피해자가 오픈하도록 유도하여 코드 실행을 통한 악성 프로그램 설치 및 관리자 권한을 획득할 수 있는 제로데이(0-Day) 보안 취약점을 이용한 사이버 공격이 이루어졌으며 MS16-132 보안 패치를 통해 문제가 해결되었습니다.

 

(5) 2016년 11월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) - KB890830

 

 

2016년 11월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 BrowserModifier:Win32/Soctuseer, Win32/Barlaiy 2종의 악성코드에 대한 진단 패턴이 추가되었습니다.

 

BrowserModifier:Win32/Soctuseer 악성코드는 SoftwareBundler:Win32/InstallMonster, SoftwareBundler:Win32/Techrelinst을 통해 설치되어 웹 브라우저 프로세스에 악성 DLL 모듈 인젝션 및 NetFilter 드라이버를 설치할 수 있습니다.

 

이를 통해 웹 브라우저를 통한 인터넷 검색 시 자동으로 Social2Search 광고 배너가 생성될 수 있습니다.

 

특히 시스템 파일(csrss.exe, svchost.exe, rundll32.exe, services.exe 등), 웹 브라우저 파일(iexplore.exe, chrome.exe, firefox.exe, opera.exe 등), 삭제 파일(Au_.exe)에 접근할 목적으로 루트킷(Rootkit) 기능을 위한 드라이버를 추가할 수 있습니다.

 

Win32/Barlaiy 악성코드는 rundll32.exe 시스템 파일을 이용하여 악성 DLL 파일을 로딩하여 다양한 웹사이트 접속을 시도하여 숨어있는 C&C 서버와의 통신을 숨기며, 다양한 모니터링 프로그램의 우회를 시도합니다.

 

■ 2016년 11월 정기 보안 업데이트 세부 정보

 

(1) MS16-129 : Microsoft Edge용 누적 보안 업데이트(3199057) - 긴급

 

• CVE-2016-7195, CVE-2016-7196, CVE-2016-7198 : Microsoft 브라우저 메모리 손상 취약성
• CVE-2016-7199, CVE-2016-7227, CVE-2016-7239 : Microsoft 브라우저 정보 유출 취약성
• CVE-2016-7200, CVE-2016-7201, CVE-2016-7202, CVE-2016-7203, CVE-2016-7208, CVE-2016-7240, CVE-2016-7242, CVE-2016-7243 : 스크립팅 엔진 메모리 손상 취약성
• CVE-2016-7204 : Microsoft Edge 정보 유출 취약성
• CVE-2016-7209 : Microsoft Edge 스푸핑 취약성
• CVE-2016-7241 : Microsoft 브라우저 원격 코드 실행 취약성

 

이 보안 업데이트는 Microsoft Edge의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Microsoft Edge를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 고객은 관리자 권한이 있는 사용자보다 영향을 덜 받을 수 있습니다.

 

(2) MS16-130 : Microsoft Windows용 보안 업데이트(3199172) - 중요

 

• CVE-2016-7212 : Windows 원격 코드 실행 취약성
• CVE-2016-7221 : Windows IME 커널 권한 상승 취약성
• CVE-2016-7222 : 작업 스케줄러 권한 상승 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 로컬에서 인증된 공격자가 특수 제작된 응용 프로그램을 실행하는 경우 원격 코드 실행을 허용할 수 있습니다.

 

(3) MS16-131 : Microsoft 비디오 컨트롤용 보안 업데이트(3199151) - 긴급

 

• CVE-2016-7248 : Microsoft 비디오 컨트롤 원격 코드 실행 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Microsoft 비디오 컨트롤이 메모리에서 개체를 적절하게 처리하지 못하는 경우 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 하지만 공격자는 사용자가 특수 제작된 파일 또는 웹 페이지나 전자 메일 메시지의 프로그램을 열도록 먼저 유도해야 합니다.

 

(4) MS16-132 : Microsoft 그래픽 구성 요소용 보안 업데이트(3199120) - 긴급

 

• CVE-2016-7205 : Windows Animation Manager 메모리 손상 취약성
• CVE-2016-7210 : 오픈타입 글꼴 정보 유출 취약성
• CVE-2016-7217 : 미디어 파운데이션 메모리 손상 취약성
• CVE-2016-7256 : 오픈타입 글꼴 원격 코드 실행 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 악의적인 웹 페이지를 방문할 때 Windows Animation Manager가 메모리에서 개체를 부적절하게 처리하는 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성의 악용에 성공한 공격자는 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

 

(5) MS16-133 : Microsoft Office용 보안 업데이트(3199168) - 중요

 

• CVE-2016-7213, CVE-2016-7228, CVE-2016-7229, CVE-2016-7230, CVE-2016-7231, CVE-2016-7232, CVE-2016-7234, CVE-2016-7235, CVE-2016-7236, CVE-2016-7245 : Microsoft Office 메모리 손상 취약성
• CVE-2016-7233 : Microsoft Office 정보 유출 취약성
• CVE-2016-7244 : Microsoft Office 서비스 거부 취약성

 

이 보안 업데이트는 Microsoft Office의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 특수 제작된 Microsoft Office 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이러한 취약성 악용에 성공한 공격자는 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객보다 영향을 덜 받을 수 있습니다.

 

(6) MS16-134 : 공용 로그 파일 시스템 드라이버용 보안 업데이트(3193706) - 중요

 

• CVE-2016-0026, CVE-2016-7184 : Windows CLFS 커널 권한 상승
• CVE-2016-3332, CVE-2016-3333, CVE-2016-3334, CVE-2016-3335, CVE-2016-3338, CVE-2016-3340, CVE-2016-3342, CVE-2016-3343 : Windows 공용 로그 파일 시스템 드라이버 권한 상승 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 Windows CLFS(공용 로그 파일 시스템) 드라이버가 메모리에서 개체를 부적절하게 처리하는 경우 권한 상승이 허용될 수 있습니다. 로컬 공격 시나리오에서 공격자는 특수 제작된 응용 프로그램을 실행하여 영향받는 시스템을 완전히 제어함으로써 이러한 취약성을 악용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 관리자 권한 컨텍스트에서 프로세스를 실행할 수 있습니다.

 

(7) MS16-135 : Windows 커널 모드 드라이버용 보안 업데이트(3199135) - 중요

 

• CVE-2016-7214 : Win32k 정보 유출 취약성
• CVE-2016-7215, CVE-2016-7246, CVE-2016-7255 : Win32k 권한 상승 취약성
• CVE-2016-7218 : Bowser.sys 정보 유출 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이러한 취약성 중 가장 위험한 취약성으로 인해 공격자가 영향받는 시스템에 로그온하여 취약성을 악용하고 영향받는 시스템을 제어할 수 있는 특수 제작된 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다.

 

(8) MS16-136 : SQL Server용 보안 업데이트(3199641) - 중요

 

• CVE-2016-7249, CVE-2016-7250 : SQL RDBMS 엔진 권한 상승 취약성
• CVE-2016-7251 : MDS API XSS 취약성
• CVE-2016-7252 : SQL Analysis Services 정보 유출 취약성
• CVE-2016-7253 : SQL Server 에이전트 권한 상승 취약성
• CVE-2016-7254 : SQL RDBMS 엔진 EoP 취약성

 

이 보안 업데이트는 Microsoft SQL Server의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 공격자가 데이터를 보거나 변경하거나 삭제하거나, 새 계정을 만들 수 있는 상승된 권한을 얻도록 허용할 수 있습니다. 이 보안 업데이트는 SQL Server가 포인터 캐스팅을 처리하는 방식을 수정하여 이와 같은 가장 심각한 취약성을 해결합니다.

 

(9) MS16-137 : Windows 인증 방법용 보안 업데이트(3199173) - 중요

 

• CVE-2016-7220 : 가상 보안 모드 정보 유출 취약성
• CVE-2016-7237 : 로컬 보안 기관 하위 시스템 서비스 서비스 거부 취약성
• CVE-2016-7238 : Windows NTLM 권한 상승 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 권한 상승을 허용할 수 있습니다. 이 취약성을 악용하려는 공격자는 먼저 유효한 사용자 자격 증명을 사용하여 도메인에 가입된 대상 시스템에 대한 인증을 거쳐야 합니다. 이 취약성을 성공적으로 악용한 공격자는 자신의 권한을 권한 없는 사용자에서 관리자로 상승시킬 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 새 계정을 만들 수 있습니다. 그런 다음 NTLM 암호 변경 요청을 조작하도록 설계된 특수 제작 응용 프로그램을 로컬로 실행하여 권한 상승을 시도할 수 있습니다.

 

(10) MS16-138 : Microsoft 가상 하드 디스크 드라이버 보안 업데이트(3199647) - 중요

 

• CVE-2016-7223, CVE-2016-7224, CVE-2016-7225, CVE-2016-7226 : VHDFS 드라이버 권한 상승 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. Windows 가상 하드 디스크 드라이버가 특정 파일에 대한 사용자 액세스를 부적절하게 처리합니다. 공격자는 이 취약성을 악용하여 사용자에게 제공되어서는 안 되는 위치의 파일을 조작할 수 있습니다.

 

(11) MS16-139 : Windows 커널용 보안 업데이트(3199720) - 중요

 

• CVE-2016-7216 : Windows 커널 권한 상승 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성으로 인해 공격자가 특수 제작된 응용 프로그램을 실행하여 중요한 정보에 액세스하면 권한 상승이 허용될 수 있습니다. 로컬에서 인증된 공격자는 특수 제작된 응용 프로그램을 실행하여 이 취약성을 악용하려 시도할 수 있습니다. 공격자는 이 방법을 통해 사용자에게 제공되어서는 안 되는 정보에 액세스할 수 있습니다.

 

(12) MS16-140 : 부팅 관리자용 보안 업데이트(3193479) - 중요

 

• CVE-2016-7247 : 보안 부팅 보안 기능 우회 취약성

 

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 취약성은 실제로 존재하는 공격자가 영향을 받는 부팅 정책을 설치하는 경우 보안 기능 우회를 허용할 수 있습니다.

 

(13) MS16-141 : Adobe Flash Player용 보안 업데이트(3202790) - 긴급

 

• CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, CVE-2016-7865

 

이 보안 업데이트는 Adobe Flash Player 23.0.0.207 버전 업데이트를 통해 Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016에 설치된 Adobe Flash Player의 취약성을 해결합니다.

 

(14) MS16-142 : Internet Explorer용 누적 보안 업데이트(3198467) - 긴급

 

• CVE-2016-7199, CVE-2016-7227, CVE-2016-7239 : Microsoft 브라우저 정보 유출 취약성
• CVE-2016-7195, CVE-2016-7196, CVE-2016-7198 : Microsoft 브라우저 메모리 손상 취약성
• CVE-2016-7241 : Microsoft 브라우저 원격 코드 실행 취약성

 

이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우 공격자가 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

 

그러므로 Windows 운영 체제 및 Microsoft 소프트웨어 제품이 설치된 환경에서는 Windows 업데이트 기능을 통해 제공되는 보안 패치를 반드시 설치하시기 바랍니다.