1. 개 요


마이크로 소프트 (MS)사에서 2013년 04월 정기 보안 업데이트를 발표 하였다. Internet Explorer 누적 보안 업데이트, 원격 데스크톱 클라이언트, SharePoint, Active Directory, Windows CSRSS, Microsoft 맬웨어 방지 클라이언트, HTML 삭제 구성 요소, 커널 모드 드라이버 취약점 등으로 인한 원격코드 실행 및 정보 유출 등을 악용하는 악성파일로부터 안전할 수 있도록 반드시 04월 정기 업데이트를 적용할 수 있도록 해야 한다.

2013년 04월 Microsoft 보안 공지 요약
http://technet.microsoft.com/ko-kr/security/bulletin/ms13-apr

[MS 보안업데이트] 2013년 04월 MS 정기 보안업데이트 권고
http://www.krcert.or.kr/kor/data/secNoticeList.jsp#none


2. 업데이트 내용
[긴급]
[MS13-028] Internet Explorer 누적 보안 업데이트

취약점: Internet Explorer의 여러 해제 후 사용 취약점

이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이러한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

◈ 영향 받는 소프트웨어

- Internet Explorer 6 with Windows XP SP3
- Internet Explorer 6 with Windows XP Professional x64 Edition SP2
- Internet Explorer 6 with Windows Server 2003 SP2
- Internet Explorer 6 with Windows Server 2003 x64 Edition SP2
- Internet Explorer 6 with Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 with Windows XP SP3
- Internet Explorer 7 with Windows XP Professional x64 Edition SP2
- Internet Explorer 7 with Windows Server 2003 SP2
- Internet Explorer 7 with Windows Server 2003 x64 Edition SP2
- Internet Explorer 7 with Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 whit Windows Vista SP2
- Internet Explorer 7 with Windows Vista x64 Edition SP2
- Internet Explorer 7 with Windows Server 2008 for 32-bit Systems SP2
- Internet Explorer 7 with Windows Server 2008 for x64-based Systems SP2
- Internet Explorer 7 with Windows Server 2008 for Itanium-based Systems SP2
- Internet Explorer 8 with Windows XP SP3
- Internet Explorer 8 with Windows XP Professional x64 Edition SP2
- Internet Explorer 8 with Windows Server 2003 SP2
- Internet Explorer 8 with Windows Server 2003 x64 Edition SP2
- Internet Explorer 8 with Windows 7 for 32-bit and Windows 7 for 32-bit SP1
- Internet Explorer 8 with Windows 7 for x64-based and Windows 7 for x64-based SP1
- Internet Explorer 8 whit Windows Vista SP2
- Internet Explorer 8 with Windows Vista x64 Edition SP2
- Internet Explorer 8 with Windows Server 2008 for 32-bit Systems SP2
- Internet Explorer 8 with Windows Server 2008 for 64-bit Systems SP2
- Internet Explorer 8 with Windows 2008 R2 for x64-based Systems SP1
- Internet Explorer 8 with Windows 2008 R2 for Itanium-based Systems SP1
- Internet Explorer 9 with Windows Vista SP2
- Internet Explorer 9 with Windows Vista x64 Edition SP2
- Internet Explorer 9 with Windows Server 2008 for 32-bit SP2
- Internet Explorer 9 with Windows Server 2008 for 64-bit Itanium-based Systems SP2
- Internet Explorer 9 with Windows 7 for 32-bit and Windows 7 for 32-bit SP1
- Internet Explorer 9 with Windows 7 for x64-based and Windows 7 for x64-based SP1
- Internet Explorer 9 with Windows Server 2008 R2 for 64-bit and Windows Server 2008 R2 for 64-bit SP1
- Internet Explorer 10 with Windows 7 for 32-bit and Windows 7 for 32-bit SP1
- Internet Explorer 10 with Windows 7 for x64-based and Windows 7 for x64-based SP1
- Internet Explorer 10 with Windows Server 2008 R2 for 64-bit and Windows Server 2008 R2 for 64-bit SP1
- Internet Explorer 10 with Windows 8 for 32-bit Systems
- Internet Explorer 10 with Windows 8 for 64-bit Systems
- Internet Explorer 10 with Windows Server 2012
- Internet Explorer 10 with Windows RT

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-028
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-028
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[긴급]
[MS13-029] 원격 데스크톱 클라이언트의 취약점으로 인한 원격 코드 실행 문제점

취약점: RDP ActiveX 컨트롤 원격 코드 실행 취약점(CVE-2013-1296)

이 보안 업데이트는 Windows 원격 데스크톱 클라이언트에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점은 사용자가 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3 원격 데스크톱 연결 6.1 클라이언트
- Windows XP SP3 원격 데스크톱 연결 7.0 클라이언트
- Windows XP Professional x64 Edition SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Server 2003 SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Server 2003 x64 Edition SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Vista SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Vista SP2 원격 데스크톱 연결 7.0 클라이언트
- Windows Vista x64 Edition SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Vista x64 Edition SP2 원격 데스크톱 연결 7.0 클라이언트
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Server 2008 for x64-based and Windows Server 2008 for x64 -based SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2 원격 데스크톱 연결 6.1 클라이언트
- Windows 7 for 32-bit and Windows 7 for 32bit SP1 원격 데스크톱 연결 7.0 클라이언트
- Windows 7 for x64-based and Windows 7 for x64-based SP1 원격 데스크톱 연결 7.0 클라이언트
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1 원격 데스크톱 연결 7.0 클라이언트
- Windows Server 2008 R2 for Itanium-based 원격 데스크톱 연결 7.0 클라이언트
- Windows Server 2008 R2 for Itanium SP1 원격 데스크톱 연결 7.0 클라이언트

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-029
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-029
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-030] SharePoint의 취약점으로 인한 정보 유출 문제점

취약점: 잘못된 액세스 권한 정보 유출 취약점(CVE-2013-1290)

이 보안 업데이트는 Microsoft SharePoint Server의 공개된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 특정 SharePoint 목록의 주소나 위치를 확인하고 해당 목록이 유지 관리되는 SharePoint 사이트에 대한 액세스 권한을 얻을 경우 정보 유출이 발생할 수 있습니다. 이 취약점을 악용하기 위해서는 공격자가 SharePoint 사이트의 인증 요청을 충족할 수 있어야 합니다.

◈ 영향 받는 소프트웨어

- Microsoft SharePoint Server 2013

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-030
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-030
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-031] Windows 커널의 취약점으로 인한 권한 상승 문제점

취약점: 커널 경쟁 조건 취약점(CVE-2013-1284)
          커널 경쟁 조건 취약점(CVE-2013-1294)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 Itanium-based SP2
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1
- Windows 8 for 32-bit Systems
- Windows 8 for 64-bit Systems
- Windows Server 2012

* Server Core 설치 옵션
- Windows Server 2008 for 32-bit Systems SP2
- Windows Server 2008 for x64-based Systems SP2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems SP1
- Windows Server 2012

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-031
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-031
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-032] Active Directory의 취약점으로 인한 서비스 거부 문제점

취약점: 메모리 사용 취약점(CVE-2013-1282)

이 보안 업데이트는 Active Directory에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된 쿼리를 LDAP(Lightweight Directory Access Protocol) 서비스에 보낼 경우 서비스 거부가 발생할 수 있습니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3 ADAM(Active Directory Application Mode)
- Windows XP Professional x64 Edition SP2 ADAM(Active Directory Application Mode)
- Windows Server 2003 SP2 Active Directory 서비스
- Windows Server 2003 x64 Edition SP2 ADAM(Active Directory Application Mode)
- Windows Server 2003 Itanium-based SP2 ADAM(Active Directory Application Mode)
- Windows Vista SP2 AD LDS(Active Directory Lightweight Directory Service)
- Windows Vista x64 Edition SP2 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 32bit SP2 Active Directory 서비스
- Windows Server 2008 32bit SP2 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 for x64-based SP2 Active Directory 서비스
- Windows Server 2008 for x64-based SP2 AD LDS(Active Directory Lightweight Directory Service)
- Windows 7 for 32-bit and Windows 7 for 32bit SP1 AD LDS(Active Directory Lightweight Directory Service)
- Windows 7 for x64-based and Windows 7 for x64-based SP1 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 R2 for x64-based  Active Directory 서비스
- Windows Server R2 for x64-based SP1 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 R2 for Itanium-based Active Directory 서비스
- Windows Server 2008 R2 for Itanium SP1 AD LDS(Active Directory Lightweight Directory Service)
- Windows 8 for 32-bit Systems AD LDS(Active Directory Lightweight Directory Service)
- Windows 8 for 64-bit Systems AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2012 Active Directory 서비스

* Server Core 설치 옵션
- Windows Server 2008 for 32-bit Systems SP2 Active Directory 서비스
- Windows Server 2008 for 32-bit Systems SP2 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 for x64-based Systems SP2 Active Directory 서비스
- Windows Server 2008 for x64-based Systems SP2 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 R2 for x64-based Systems Active Directory 서비스
- Windows Server 2008 R2 for x64-based Systems AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2008 R2 for x64-based Systems SP1 Active Directory 서비스
- Windows Server 2008 R2 for x64-based Systems SP1 AD LDS(Active Directory Lightweight Directory Service)
- Windows Server 2012 Active Directory 서비스

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-032
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-032
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-033] Windows CSRSS(Client/Server Run-time Subsystem)의 취약점으로 인한 권한 상승 문제점

취약점: CSRSS 메모리 손상 취약점(CVE-2013-1295)

이 보안 업데이트는 지원 대상인 모든 Windows XP, Windows Vista, Windows Server 2003 및 Windows Server 2008 에디션에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 Itanium-based SP2
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium SP2

* Server Core 설치 옵션
- Windows Server 2008 for 32-bit Systems SP2
- Windows Server 2008 for x64-based Systems SP2

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-033
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-033
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-034] Microsoft 맬웨어 방지 클라이언트의 취약점으로 인한 권한 상승 문제점

취약점: Microsoft 맬웨어 방지 부적절한 경로 이름 취약점(CVE-2013-0078)

이 보안 업데이트는 Microsoft 맬웨어 방지 클라이언트에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 Microsoft 맬웨어 방지 클라이언트에서 사용되는 경로 이름으로 인한 권한 상승이 허용될 수 있습니다. 이 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자는 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 공격자가 이 취약점을 악용하기 위해서는 유효한 로그온 자격 증명이 필요합니다. 익명 사용자는 이 취약점을 악용할 수 없습니다.

◈ 영향 받는 소프트웨어

- Windows 8 및 Windows RT용 Windows Defender

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-034
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-034
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-035] HTML 삭제 구성 요소의 취약점으로 인한 권한 상승 문제점

취약점: HTML 삭제 취약점(CVE-2013-1289)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office의 취약점을 해결합니다. 이 취약점은 공격자가 특수하게 조작된 콘텐츠를 사용자에게 보냈을 때 권한이 상승되도록 할 수 있습니다.

◈ 영향 받는 소프트웨어

* Microsoft Office 
- Microsoft InfoPath 2010 SP1 32bit
- Microsoft InfoPath 2010 SP1 32bit
- Microsoft InfoPath 2010 SP1 64bit
- Microsoft InfoPath 2010 SP1 64bit

* Microsoft Server 소프트웨어 
- Microsoft SharePoint Server 2010 SP1
- Microsoft SharePoint Server 2010 SP1
- Microsoft Groove Server 2010 SP1
- Microsoft SharePoint Foundation 2010 SP1

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms13-035
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-035
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS13-036] 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점

취약점: Win32k 경쟁 조건 취약점(CVE-2013-1283)
          Win32k 글꼴 구문 분석 취약점(CVE-2013-1291)
          Win32k 경쟁 조건 취약점(CVE-2013-1292)
          NTFS NULL 포인터 역참조 취약점(CVE-2013-1293)

이 보안 업데이트는 Microsoft Windows에 대해 비공개적으로 보고된 취약점 3건과 공개된 취약점 1건을 해결합니다. 가장 위험한 취약점으로 인해 공격자가 시스템에 로그온하여 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 가장 위험한 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 Itanium-based SP2
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1
- Windows 8 for 32-bit Systems
- Windows 8 for 64-bit Systems
- Windows Server 2012
- Windows RT

* Server Core 설치 옵션
- Windows Server 2008 for 32-bit Systems SP2
- Windows Server 2008 for x64-based Systems SP2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems SP1
- Windows Server 2012

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-036
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-036


저작자 표시
신고
Posted by nProtect
1. Java 0-Day 취약점을 통한 악성파일 유포 중


2013년 01월 10일 새로운 Java 취약점이 악용되어 악성파일 유포에 이용되고 있는 사실이 해외에서 공식 보고되었다. 해당 취약점은 Common Vulnerabilities and Exposures ID가 [CVE-2013-0422] 값으로 부여되었으며, 2013년 01월 11일 현재 취약점이 해결된 보안 업데이트가 정식으로 제공되고 있지 않은 Zero-Day 취약점이다. 이 취약점은 악성파일 유포 전문조직들이 사용하는 Blackhole Exploit Kit(BHEK) 외 각종 Exploit Kit 기능에도 이미 공격기능이 탑재된 상태이고, 이미 다수의 웹 사이트를 통해서 유포된 정황이 확인된 상태이므로, 각별한 주의와 대비가 요구된다. Java 프로그램 설치 이용자들은 정식 보안패치가 배포되기 이전까지 사용에 큰 문제가 없다면 임시로 제거(제어판->프로그램 추가/제거->Java)하는 등 적절한 보안조치를 취하는 노력이 필요할 것으로 보인다.



2. CVE-2013-0422 관련 정보


Java Zero-Day 취약점은 해외 음란사이트 등 다수의 웹 사이트에서 배포되었고, 공격반경이 점차 광범위로 확대될 것으로 우려되고 있다. 보안이 취약한 Java 프로그램이 설치되어 있는 경우 해당 악성 스크립트가 포함되어 있는 특정 웹 사이트의 접근만으로 알려지지 않은 악성파일에 쉽게 노출될 수 있다. 아래는 실제 해외 사이트에서 유포되었던 악성 스크립트 코드의 한 예이다.

 
악성 Java 파일은 다양한 변종이 보고되고 있고, 다수의 웹 사이트를 통해서 유포됐던 사례가 보고된 상태이다. 더불어 마이크로 소프트사의 인터넷 익스플로러(IE)에 대한 Zero-Day 취약점[CVE-2012-4792]도 아직 공식적인 보안업데이트가 제공되지 않고 있고, 국내 사이트에서도 해당 취약점을 이용한 악성파일 유포가 발견된 상황이므로 인터넷 이용자들의 각별한 보안주의가 요구된다.

[주의]인터넷 익스플로러(IE) 0-Day 취약점 공격 증가(CVE-2012-4792)
http://erteam.nprotect.com/372

Java Zero-Day 취약점에 대한 공식 보안업데이트가 제공되기 전까지 특별한 문제가 없다면 일시적으로 Java 프로그램을 제어판에서 삭제하여 두는 것도 임시방편이다.

추후 정식 보안업데이트가 배포되면 자바 다운로드 사이트(http://www.java.com/ko/)를 통해서 재설치하여 사용하면 된다. 


3. 보안 관리 수칙 준수

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

저작자 표시
신고
Posted by nProtect

1. 개 요


잉카인터넷 대응팀에서는 국방관련 주요 문서 파일로 위장하여, 추가적인 악성파일에 대한 유포를 시도하는 한글 취약점 관련 악성파일을 발견하였다. 해당 악성파일은 감염 시 정상적인 문서파일을 함께 출력하기 때문에 일반 사용자의 경우 감염 여부에 대한 판단을 육안으로 내리기가 힘들며, 감염 시 다른 추가적인 악성 동작이 있을 수 있으므로 사용자들의 각별한 주의를 요망하고 있다.

  

2. 감염 증상


해당 악성파일은 감염 시 아래의 그림과 같이 정상적인 국방 관련 문서파일을 출력하게 된다.
 


또한, 이와 동시에 아래의 그림과 같은 추가적인 악성파일들을 특정 경로에 생성하게 된다.

 

※ 파일생성

- (사용자 임시 폴더)\scvhost.exe (130,048 바이트)
- (루트 드라이버)\tesdn.dat (78,336 바이트, scvhost.exe가 생성)

☞ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp을 의미한다.
☞ (루트 드라이버)란 일반적으로 C:\ 드라이버를 의미한다.


위 그림과 같이 추가적으로 생성된 악성파일(scvhost.exe)이 실행되면, 특정 경로에 이름이 변경된 dll 파일(tesdn.dat)이 함께 생성되며, 해당 악성파일은 아래의 일부 코드를 통해 인터넷 사용가능 여부 체크 및 원격지로부터 추가적인 악성파일에 대한 다운로드를 수행하는 등의 악성 동작을 수행할 수 있다.

3. 예방 조치 방법

위와 같이 정상적인 문서 파일로 위장한 악성파일의 경우 일반 사용자들을 현혹하여 악성파일에 대한 실행 및 다운로드 등을 유도할 수 있으며, 이를 이용해 악의적인 코드의 실행을 수행하게 된다. 더욱이 위와 같이 관심을 가질만한 문서 내용으로 위장할 경우에는 유포 및 감염에 대한 파급효과가 상당히 커질 수 있으므로 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/




저작자 표시
신고
Posted by nProtect

1. 개 요


마이크로 소프트 (MS)사에서 2012년 09월 정기 보안 업데이트를 발표 하였다.Visual Studio Team Foundation Server의 취약점, Microsoft System Center Configuration Manager의 취약점 등으로 인한 권한 상승 등을 악용하는 악성파일로부터 안전할 수 있도록 반드시 09 정기 업데이트를 적용할 수 있도록 해야 한다.

2012년 9월 Microsoft 보안 공지 요약
http://technet.microsoft.com/ko-kr/security/bulletin/ms12-sep

[MS 보안 업데이트] 2012년 09월 MS 정기 보안 업데이트 권고
http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=1303

2. 업데이트 내용

[중요]
[MS12-061] Visual Studio Team Foundation Server 에서 발생하는 취약점으로 인한 권한상승 문제

취약점 : XSS 취약점

이 보안 업데이트는 비공개적으로 보고된 Visual Studio Team Foundation Server의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 전자 메일 메시지의 특수하게 조작된 링크를 클릭하거나 이 취약점을 악용하는 데 사용된 웹 페이지로 이동할 경우 권한 상승이 허용될 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 작업을 수행하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

◈ 영향 받는 소프트웨어

- Microsoft Visual Studio Team Foundation Server 2010 서비스 팩 1

◈ 영향 받지 않는 소프트웨어

- Microsoft Visual Studio .NET 2003 서비스 팩 1
- Microsoft Visual Studio 2005 서비스 팩 1
- Microsoft Visual Studio Team Foundation Server 2005 서비스 팩 1
- Microsoft Visual Studio 2008 서비스 팩 1
- Microsoft Visual Studio Team Foundation Server 2008 서비스 팩 1
- Microsoft Visual Studio 2010 서비스 팩 1
- Microsoft Visual Studio LightSwitch 2011
- Microsoft Visual Studio 2012
- Microsoft Visual Studio Team Foundation Server 2012

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms12-061
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-061
  

[중요]
[MS12-062] System Center Configuration Manager 에서 발생하는 취약점으로 인한 권한상승 문제

취약점 : 변형 XSS 취약점

이 보안 업데이트는 비공개적으로 보고된 Microsoft System Center Configuration Manager의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 URL을 통해 영향을 받는 웹 사이트를 방문할 경우 권한 상승이 허용될 수 있습니다. 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

◈ 영향 받는 소프트웨어
- Microsoft Systems Management Server 2003 서비스 팩 3
- Microsoft System Center Configuration Manager 2007 서비스 팩 2

◈ 영향 받지 않는 소프트웨어
- Microsoft System Center Configuration Manager 2007 R2
- Microsoft System Center Configuration Manager 2007 R3
- Microsoft System Center 2012 Configuration Manager

- 참조 사이트
- 영문 :
http://technet.microsoft.com/en-us/security/bulletin/ms12-062
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-062


저작자 표시
신고
Posted by nProtect

1.  개 요


2012 런던 올림픽 대회가 개최되며, 전세계의 이목이 올림픽에 집중되고 있다. 전세계 각국을 대표하는 선수들이 참가하여 열전을 벌이고 관심을 높여가고 있는 가운데 역시나 올림픽 관련 스케쥴표로 위장한 악성파일이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 PDF 형식의 파일로 폰트 관련 취약점을 악용하여 악성파일을 유포하고 있으며, 감염 시 정상적인 올림픽 스케쥴표가 출력되어 일반 사용자들의 경우 감염 사실을 인지하기가 매우 어려운 것이 특징이라고 할 수 있다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 2012 런던 올림픽 경기 일정표로 위장되어 이메일의 첨부파일 혹은 SNS, 메신저 등의 링크 접속을 통해 유포가 이루어질 수 있다. 또한, 폰트 관련 PDF 취약점을 악용하고 있으며, 영향을 받는 버전은 아래와 같다.

※ 영향을 받을 수 있는 버전

- Adobe Reader 9.3.4 이전 버전
- Adobe Acrobat 9.3.4 이전 버전

해당 악성파일의 경우 PDF 내부에 암호화 되어 있는 TTF(TrueTypeFont) 스트림의 특정 테이블을 통해 스택오버플로우를 일으키는 취약점이 악용되었으며, 아래의 그림은 스택오버플로우를 유발할 수 있는 코드의 일부이다.

위와 같은 취약점이 유효할 수 있는 응용 프로그램을 사용하여 해당 악성파일이 실행될 경우 사용자가 감염사실을 의심하지 않도록 하기 위해 아래의 그림과 같이 정상적인 2012 런던 올림픽 스케쥴표가 화면상에 출력될 수 있다.

또한, 내부에 포함하고 있는 추가적인 악성파일을 아래와 같은 경로에 생성하게 된다.

※ 생성 파일

- (사용자 임시 폴더)\~temqp.tmp (53,248 바이트)
- (사용자 임시 폴더)\explorer.exe (53,248 바이트)
- (사용자 임시 폴더)\~vmdmc.exe (484,864 바이트, 정상 cmd.exe 복사본)

※ 레지스트리 값 등록

- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 이 름 : "arun"
- 데이터 : "(사용자 임시 폴더)\explorer.exe"

※ (사용자 임시 폴더)란 일반적으로 "C\Documents and Settings\(사용자 계정)\Local Settings\Temp"를 말한다.

위와 같이 추가적으로 생성되는 악성파일들은 아래의 그림과 같이 WORD 문서 파일 아이콘으로 위장되어 있다.

또한, 해당 악성파일은 아래의 일부 코드와 같이 중국내에 소재하는 특정 외부 사이트에 지속적인 접속을 시도하나 현재는 정상적인 접속이 되지 않고 있다.

3. 예방 조치 방법

위와 같이 취약점을 악용하는 악성파일의 경우 사전 예방이 매우 어렵다는 특징을 가진다. 거기에 더해 국/내외 적으로 현재 큰 이슈가 되고 있는 런던 올림픽과 같은 행사와 관련해 사회공학적 기법 또한 악용된다면 일반 사용자의 경우 철저한 보안의식에 대한 함양 없이는 안전한 PC 사용을 유지하기가 어려울 수 있다.

때문에 사용중인 응용프로그램에 대한 철저한 보안 패치와 함께 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력을 기울이는 것이 안전한 PC 사용을 위한 최선의 방법이라 할 수 있을 것이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.53248.CYM
- Trojan-Exploit/W32.Pidief.291556.JVF
- Trojan/W32.Agent.53248.DDR



 

저작자 표시
신고
Posted by nProtect

1. 개 요


잉카인터넷 대응팀에서는 최근 한글 취약점을 악용하여 추가적인 악성파일의 유포를 시도하는 악성 한글 문서 파일을 발견하였다. 해당 악성 한글 문서 파일을 실행할 경우 내부에 포함된 정상적인 문서 파일이 함께 실행되므로 일반 사용자의 경우 악성코드가 실행되었는지 여부를 알 수 없어 잠재적 감염 위험성이 높다고 할 수 있다. 또한, 이러한 잠재적 감염 위험성을 가지는 악성파일에 감염되었을 경우 일반 사용자의 경우 감염 사실을 쉽게 알 수 없기 때문에 다양한 정보 유출 등 감염 이외의 2차적 피해를 입을 수 있어 각별한 주의가 요망되고 있다.

  

2. 유포 경로 및 감염 증상


해당 한글 문서 파일은 이메일 등의 첨부파일을 통해 주로 유포될 수 있으며, 다운로드 후 실행 시 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

- (사용자 임시 폴더)\AAAA (25,088 바이트, 정상 한글 파일)
- (사용자 임시 폴더)\scvhost.exe (32,768 바이트)
- (시작프로그램 폴더)\AcroRd32Info(스페이스바 생략)数据的.exe (32,768 바이트, scvhost.exe와 동일한 파일)


☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.
☞ (시작프로그램 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램" 을 말한다.


위 그림은 생성된 파일에 대한 아이콘을 보여주고 있다. 제일 상단의 "AAAA" 파일은 해당 악성 한글 문서 파일이 실행될때 함께 실행되는 정상적인 한글 문서 파일(.hwp 확장자가 없는 상태)이다. 악성 한글 문서 파일과 함께 실행되며 아래의 그림과 같은 내용을 담고 있다.


scvhost.exe 파일 또한, 해당 악성 한글 문서파일이 실행될 경우 생성되며 실행 시 아래의 그림과 같이 외부 특정 서버와 지속적인 통신을 시도한다. 파일명이 정상파일명(svchost.exe)과 유사한 것이 특징이며, 악성 동작의 특성상 Bot기능을 수행할 수 있다.


해당 IP는 아래의 그림과 같이 미국내에 소재하고 있으며, 현재는 통신이 정상적으로 이루어지지 않고 있다.


또한, scvhost.exe는 자신의 복사본을 생성하여 시작프로그램으로 등록하게 되는데 이때 복사본의 파일명 또한, 정상 프로그램명으로 위장하고 있으며, 스페이스바 입력을 통한 빈공간과 함께 파일명이 생성되어 있는것이 특징이다. 아래의 일부 코드를 통해 해당 파일명을 정의하고 있다.


3. 예방 조치 방법

위와 같이 특정 응용 프로그램의 취약점을 악용하는 악성파일의 경우 사전 방역이 어렵다는 특징을 가진다. 또한, 일반 사용자의 경우 해당 악성파일을 실행해도 내부에 포함되어 있는 정상적인 한글 문서 파일이 출력되므로 감염 여부에 대한 파악이 더욱 어려울 수 있다. 때문에 사용자들은 한글 등 사용중인 응용 프로그램에 대한 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.32768.CBC
- Trojan-Exploit/W32.Hwp_Exploit.189968





저작자 표시
신고
Posted by nProtect

1. 개 요


마이크로 소프트 (MS)사에서 2012년 06월 정기 보안 업데이트를 발표 하였다. 원격 데스크톱의 취약점, Internet Explorer 누적 보안 업데이트, .NET Framework의 취약점, Lync의 취약점, Windows 커널 모드 드라이버 취약점, Windows 커널의 취약점등으로 인한 원격코드 실행 및 권한 상승 등을 악용하는 악성파일로부터 안전할 수 있도록 반드시 06월 정기 업데이트를 적용할 수 있도록 해야 한다.


2012년 06월 Microsoft 보안 공지 요약
http://technet.microsoft.com/ko-kr/security/bulletin/ms12-jun

[MS 보안업데이트] 2012년 06월 MS 정기 보안업데이트 권고
 http://www.krcert.or.kr/kor/data/secNoticeList.jsp#none

[쉽게 배우는 Microsoft Windows 보안 업데이트!!]
 http://erteam.nprotect.com/8



2. 업데이트 내용

[긴급]
[MS12-036] 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점

취약점: 원격 데스크톱 프로토콜 취약점 (CVE-2012-0173)

이 보안 업데이트는 원격 데스크톱 프로토콜의 비공개적으로 보고된 취약점을 해결합니다. 공격자가 영향을 받는 시스템에 특수하게 조작된 일련의 RDP 패킷을 보낼 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 기본적으로 RDP(원격 데스크톱 프로토콜)은 모든 Windows 운영 체제에서 사용되도록 설정되어 있지는 않습니다. RDP가 사용 가능하지 않는 시스템은 취약하지 않습니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 Itanium-based SP2
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-036
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-036

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[긴급]
[MS12-037] Internet Explorer 누적 보안업데이트

취약점: Center 요소 원격 코드 실행 취약점(CVE-2012-1523)
          HTML 삭제 취약점(CVE-2012-1858)
          EUC-JP 문자 인코딩 취약점(CVE-2012-1872)
          널 바이트 정보 유출 취약점(CVE-2012-1873)
          개발자 도구 모음 원격 코드 실행 취약점(CVE-2012-1874)
          동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)
          Col 요소 원격 코드 실행 취약점(CVE-2012-1876)
          Title 요소 변경 원격 코드 실행 취약점(CVE-2012-1877)
          OnBeforeDeactivate 이벤트 원격 코드 실행 취약점(CVE-2012-1878)
          insertAdjacentText 원격 코드 실행 취약점(CVE-2012-1879)
          insertRow 원격 코드 실행 취약점(CVE-2012-1880)
          OnRowsInserted 이벤트 원격 코드 실행 취약점(CVE-2012-1881)
          Scroll 이벤트 정보 유출 취약점(CVE-2012-1882)

이 보안 업데이트는 Internet Explorer의 공개된 취약점 1건과 비공개로 보고된 취약점 12건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

◈ 영향 받는 소프트웨어

- Internet Explorer 6 with Windows XP Service Pack 3
- Internet Explorer 6 with Windows XP Professional x64 Edition SP2
- Internet Explorer 6 with Windows Server 2003 SP2
- Internet Explorer 6 with Windows Server 2003 x64 Edition SP2
- Internet Explorer 6 with Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 with Windows XP SP3
- Internet Explorer 7 with Windows XP Professional x64 Edition SP2
- Internet Explorer 7 with Windows Server 2003 SP2
- Internet Explorer 7 with Windows Server 2003 x64 Edition SP2
- Internet Explorer 7 with Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 whit Windows Vista SP2
- Internet Explorer 7 with Windows Vista x64 Edition SP2
- Internet Explorer 7 with Windows Server 2008 for 32-bit Systems SP2
- Internet Explorer 7 with Windows Server 2008 for x64-based Systems SP2
- Internet Explorer 7 with Windows Server 2008 for Itanium-based Systems SP2
- Internet Explorer 8 with Windows XP SP3
- Internet Explorer 8 with Windows XP Professional x64 Edition SP2
- Internet Explorer 8 with Windows Server 2003 SP2
- Internet Explorer 8 with Windows Server 2003 x64 Edition SP2
- Internet Explorer 8 with Windows 7 for 32-bit and Windows 7 for 32-bit SP1
- Internet Explorer 8 with Windows 7 for x64-based and Windows 7 for x64-based SP1
- Internet Explorer 8 whit Windows Vista SP2
- Internet Explorer 8 with Windows Vista x64 Edition SP2
- Internet Explorer 8 with Windows Server 2008 for 32-bit Systems SP2
- Internet Explorer 8 with Windows Server 2008 for 64-bit Systems SP2
- Internet Explorer 8 with Windows 2008 R2 for x64-based Systems SP1
- Internet Explorer 8 with Windows 2008 R2 for Itanium-based Systems SP1
- Internet Explorer 9 with Windows Vista SP2
- Internet Explorer 9 with Windows Vista x64 Edition SP2
- Internet Explorer 9 with Windows Server 2008 for 32-bit SP2
- Internet Explorer 9 with Windows Server 2008 for 64-bit Itanium-based Systems SP2
- Internet Explorer 9 with Windows 7 for 32-bit and Windows 7 for 32-bit SP1
- Internet Explorer 9 with Windows 7 for x64-based and Windows 7 for x64-based SP1
- Internet Explorer 9 with Windows Server 2008 R2 for 64-bit and Windows Server 2008 R2 for 64-bit SP1

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-037
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-037


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[긴급]
[MS12-038] .NET Framework의 취약점으로 인한 원격 코드 실행 문제점

취약점: .NET Framework 메모리 액세스 취약점(CVE-2012-1855)

이 보안 업데이트는 비공개적으로 보고된 Microsoft .NET Framework의 취약점 한 가지를 해결합니다. 사용자가 XBAP(XAML 브라우저 응용 프로그램)을 실행할 수 있는 웹 브라우저를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 이 취약점으로 인해 클라이언트 시스템에서 원격 코드가 실행될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 이 취약점은 CAS(코드 액세스 보안) 제한을 우회하기 위해 Windows .NET 응용 프로그램에서 사용될 수도 있습니다. 웹 탐색을 통한 공격의 경우 공격자는 호스팅하는 웹 사이트에 이 취약점을 악용하는 웹 페이지를 포함할 수 있습니다. 또한 사용자가 제공한 콘텐츠나 광고를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 그러나 어떠한 경우에도 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3 for Microsoft .NET Framework 2.0 SP2
- Windows XP SP3 for Microsoft .NET Framework 4
- Windows XP Professional x64 Edition SP2 for Microsoft .NET Framework 2.0 SP2
- Windows XP Professional x64 Edition SP2 for Microsoft .NET Framework 4
- Windows Server 2003 SP2 for Microsoft .NET Framework 2.0 SP2
- Windows Server 2003 SP2 for Microsoft .NET Framework 4
- Windows Server 2003 x64 Edition SP2 for Microsoft .NET Framework 2.0 SP2
- Windows Server 2003 x64 Edition SP2 for Microsoft .NET Framework 4
- Windows Server 2003 SP2 Itanium-based for Microsoft .NET Framework 2.0 SP2
- Windows Server 2003 SP2 Itanium-based for Microsoft .NET Framework 4
- Windows Vista SP2 for Microsoft .NET Framework 2.0 SP2
- Windows Vista SP2 for Microsoft .NET Framework 4
- Windows Vista x64 Edition SP2 for Microsoft .NET Framework 2.0 SP2
- Windows Vista x64 Edition SP2 for Microsoft .NET Framework 4
- Windows 2008 for 32bit SP2 for Microsoft .NET Framework 2.0 SP2
- Windows 2008 for 32bit SP2 for Microsoft .NET Framework 4
- Windows Server 2008 for x64-based SP2 for Microsoft .NET Framework 2.0 SP2
- Windows Server 2008 for x64-based SP2 for Microsoft .NET Framework 4
- Windows Server 2008 for Itanium SP2 for Microsoft .NET Framework 2.0 SP2
- Windows Server 2008 for Itanium SP2 for Microsoft .NET Framework 4
- Windows 7 for 32-bit for Microsoft .NET Framework 3.5.1
- Windows 7 for 32-bit for Microsoft .NET Framework 4
- Windows 7 for 32bit SP1 for Microsoft .NET Framework 3.5.1
- Windows 7 for 32bit SP1 for Microsoft .NET Framework 4
- Windows 7 for x64-based for Microsoft .NET Framework 3.5.1
- Windows 7 for x64-based SP1 for Microsoft .NET Framework 4
- Windows Server 2008 R2 for x64-based for Microsoft .NET Framework 3.5.1*
- Windows Server 2008 R2 for x64-based for Microsoft .NET Framework 4
- Windows Server 2008 R2 for x64-based SP1 for Microsoft .NET Framework 3.5.1*
- Windows Server 2008 R2 for x64-based SP1 for Microsoft .NET Framework 4 *
- Windows Server 2008 R2 for Itanium-based for Microsoft .NET Framework 3.5.1
- Windows Server 2008 R2 for Itanium-based for Microsoft .NET Framework 4
- Windows Server 2008 R2 for Itanium SP1 for Microsoft .NET Framework 3.5.1

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-038
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-038


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[중요]
[MS12-039] Lync의 취약점으로 인한 원격 코드 실행 문제점

취약점: TrueType 글꼴 구문 분석 취약점(CVE-2011-3402)
          TrueType 글꼴 구문 분석 취약점(CVE-2012-0159)
          Lync의 안전하지 않은 라이브러리 로드 취약점(CVE-2012-1849)
          HTML 삭제 취약점(CVE-2012-1858)

이 보안 업데이트는 Microsoft Lync의 공개된 취약점 1건과 비공개로 보고된 취약점 3건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 TrueType 글꼴이 포함된 공유 콘텐츠를 볼 경우 원격 코드 실행이 허용될 수 있습니다.

◈ 영향 받는 소프트웨어

- Microsoft Communicator 2007 R2
- Microsoft Lync 2010 (32-bit)
- Microsoft Lync 2010 (64-bit)
- Microsoft Lync 2010 Attendee
- Microsoft Lync 2010 Attendee
- Microsoft Lync 2010 Attendant (32-bit)
- Microsoft Lync 2010 Attendant (64-bit)

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-039
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-039

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[중요]
[MS12-040] Microsoft Dynamics AX Enterprise Portal의 취약점으로 인한 권한 상승 문제점

취약점: Dynamic AX Enterprise Portal XSS 취약점(CVE-2012-1857)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Dynamics AX Enterprise Portal의 취약점 1건을 해결합니다. 취약점으로 인해 사용자가 특수하게 조작된 URL을 클릭하거나 특수하게 조작된 웹 사이트를 방문할 경우 권한 상승 문제가 발생할 수 있습니다. 전자 메일을 통한 공격의 경우 공격자는 특수하게 조작한 URL이 포함된 메일 메시지를 대상 Microsoft Dynamics AX Enterprise Portal 사이트의 사용자에게 보내고 특수하게 조작된 URL을 클릭하도록 유도하는 방식으로 취약점을 악용할 수 있습니다. 인터넷 영역에서 Microsoft Dynamics AX Enterprise Portal 사이트로 이동하는 Internet Explorer 8 및 Internet Explorer 9 사용자는 위험 발생률이 낮습니다. 기본적으로 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터가 인터넷 영역에서 이러한 공격을 방지합니다. 하지만 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터는 인트라넷 영역에서 기본적으로 사용되지 않습니다.

◈ 영향 받는 소프트웨어

- Microsoft Dynamics AX 2012

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-040
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-040

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[중요]
[MS12-041] Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점

취약점: 문자열 Atom 클래스 이름 처리 취약점(CVE-2012-1864)
          문자열 Atom 클래스 이름 처리 취약점(CVE-2012-1865)
          클립보드 형식 Atom 이름 처리 취약점(CVE-2012-1866)
          글꼴 리소스 Refcount 정수 오버플로 취약점(CVE-2012-1867)
          Win32k.sys 경쟁 조건 취약점(CVE-2012-1868)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 5건을 해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이러한 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 Itanium-based SP2
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-041
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-041

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[중요]
[MS12-042] Windows 커널의 취약점으로 인한 권한 상승 문제점

취약점: User Mode Scheduler 메모리 손상 취약점(CVE-2012-0217)
          BIOS ROM 손상 취약점(CVE-2012-1515)


이 보안 업데이트는 Microsoft Windows의 비공개적으로 보고된 취약점 1건과 공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 이 취약점을 악용하기 위해 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

◈ 영향 받는 소프트웨어

- Windows XP SP3
- Windows Server 2003 SP2
- Windows 7 for x64-based and Windows 7 for x64-based SP1 *
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1 *

*Server Core 설치가 영향을 받습니다. 이 업데이트는 Server Core 설치 옵션의 사용 여부에 관계없이 동일한 심각도로 지원 대상인 Windows Server 2008 R2에 적용됩니다.

- 참조 사이트
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-042
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-042


저작자 표시
신고
Posted by nProtect

1. 개 요


마이크로 소프트 (MS)사에서 2012년 01월 정기 보안 업데이트를 발표 하였다.
윈도우 운영체제(OS) 사용자는 Windows Media의 취약점 Windows 커널 취약점, Windows 개체 포장기의 취약점, SSL/TLS의 취약점, Windows CSRSS의 취약점, 등으로 인한 원격코드 실행 문제 및 보안 기능 우회등을 악용하는 악성파일로부터 안전할 수 있도록 반드시 01월 정기 업데이트를 적용할 수 있도록 해야 한다.



2. 업데이트 내용

[중요]
[MS12-001] Windows Kernel에서 발생하는 취약점으로 인한 보안기능 우회 문제

취약점: Windows Kernel SafeSEH Bypass Vulnerability - (CVE-2012-0001)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 공격자가 소프트웨어 응용 프로그램에서 SafeSEH 보안 기능을 우회할 수 있도록 합니다. 그런 후 공격자는 다른 취약점을 이용하여 구조적 예외 처리기가 임의 코드를 실행하도록 할 수 있습니다. Microsoft Visual C++ .NET 2003을 사용하여 컴파일한 소프트웨어 응용 프로그램만 이 취약점을 악용하는 데 이용될 수 있습니다.

◈ 영향 받는 소프트웨어
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 SP2 Itanium-based
- Windows Vista SP1
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-001
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-001

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS12-002] Windows Object Packager 의 취약점으로 인한 원격코드 실행 문제

취약점: Object Packager Insecure Executable Launching Vulnerability - (CVE-2012-0009)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 실행 파일과 동일한 네트워크 디렉터리에 있는 포함된 패키지 개체를 포함하는 합법적인 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

◈ 영향 받는 소프트웨어
- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 SP2 Itanium-based

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-002
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-002

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS12-003] Windows Client/Server Run-time Subsystem 에서 발생하는 취약점으로 인한 권한상승 문제

취약점: CSRSS Elevation of Privilege Vulnerability - (CVE-2012-0005)


이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008 에디션에 대해 중요입니다. 지원 대상인 Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.

이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 그런 후 공격자는 영향을 받는 시스템을 완전히 제어하고 프로그램을 설치할 수 있으며, 데이터를 보거나 변경하거나 삭제할 수 있고, 모든 사용자 권한을 갖는 새 계정을 만들 수 있습니다. 이 취약점은 중국어, 일본어 또는 한국어 시스템 로컬로 구성된 시스템에서만 악용될 수 있습니다.

◈ 영향 받는 소프트웨어
- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 SP2 Itanium-based
- Windows Vista SP1
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-003
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-003

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[긴급]
[MS12-004] Windows Media 에서 발생하는 취약점으로 인한 원격코드 실행 문제

취약점: MIDI Remote Code Execution Vulnerability - (CVE-2012-0003)
          DirectShow Remote Code Execution Vulnerability - (CVE-2012-0004)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 미디어 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

◈ 영향 받는 소프트웨어
- Windows XP SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library and Directshow
- Windows XP Professional x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 with SP2 for Itanium-based Systems Windows Multimedia Library and DirectShow
- Windows Vista SP2 Windows Multimedia Library and DirectShow
- Windows Vista x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for 32-bit Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for x64-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for Itanium-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems SP1 DirectShow
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for x64-based Systems DirectShow
- Windows Server 2008 R2 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for Itanium-based Systems DirectShow
- Windows Server 2008 R2 for Itanium-based Systems SP1 DirectShow

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-004
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-004

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[중요]
[MS12-005] Windows 에서 발생하는 취약점으로 인한 원격코드 실행 문제

취약점: Assembly Execution Vulnerability - (CVE-2012-0013)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 사용자가 악성의 내장형 ClickOnce 응용 프로그램이 들어 있는 특수하게 조작된 Microsoft Office 파일을 열 경우 원격 코드가 실행되도록 할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

◈ 영향 받는 소프트웨어
- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 SP2 Itanium-based
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2**
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2**
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1**
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1

**Server Core 설치는 영향을 받지 않습니다. Server Core 설치 옵션을 사용하여 설치한 경우 이 업데이트에서 해결하는 취약점은 지원 대상인 Windows Server 2008 또는 Windows Server 2008 R2 에디션에 영향을 주지 않습니다. 이 설치 옵션에 대한 자세한 내용은 TechNet 문서, Server Core 설치 관리(영문) 및 Server Core 설치 서비스(영문)를 참조하십시오. 참고: Server Core 설치 옵션은 Windows Server 2008 및 Windows Server 2008 R2의 특정 에디션에 적용되지 않습니다. Server Core 설치 옵션에 따른 버전 비교(영문)를 참조하십시오.

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-005
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-005


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


[중요]
[MS12-006] SSL/TLS 에서 발생하는 취약점으로 인한 정보유출 문제

취약점: SSL and TLS Protocols Vulnerability - (CVE-2011-3389)

이 보안 취약점은 SSL 3.0 및 TLS 1.0의 공개된 취약점을 해결합니다. 이 취약점은 프로토콜 자체에 영향을 미치며 Windows 운영 체제와는 관련이 없습니다. 이 취약점은 공격자가 영향 받은 시스템에서 제공된 암호화된 웹 트래픽을 가로챌 경우 정보가 노출되도록 할 수 있습니다. TLS 1.1, TLS 1.2, 그리고 CBC 모드를 사용하는 모든 암호 그룹은 영향을 받지 않습니다.

◈ 영향 받는 소프트웨어
- Windows XP SP3
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 SP2 Itanium-based
- Windows Vista SP2
- Windows Vista x64 Edition SP2
- Windows Server 2008 for 32bit and Windows 2008 for 32bit SP2
- Windows Server 2008 for x64-based and Windows Server 2008 for x64-based SP2
- Windows Server 2008 for Itanium-based and Windows Server 2008 for Itanium SP2
- Windows 7 for 32-bit and Windows 7 for 32bit SP1
- Windows 7 for x64-based and Windows 7 for x64-based SP1
- Windows Server 2008 R2 for x64-based and Windows Server R2 for x64-based SP1
- Windows Server 2008 R2 for Itanium-based and Windows Server 2008 R2 for Itanium SP1

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-006
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-006

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


[중요]
[MS12-007] AntiXSS Library 에서 발생하는 취약점으로 인한 정보유출 문제

취약점: AntiXSS Library Bypass Vulnerability - (CVE-2012-0007)

이 보안 업데이트는 비공개적으로 보고된 Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리의 취약점 1건을 해결합니다. 이 취약점은 공격자가 AntiXSS 라이브러리의 삭제 기능을 사용하여 웹 사이트에 악성 스크립트를 제공할 경우 정보가 유출되도록 할 수 있습니다. 이러한 정보 노출의 결과는 정보 자체의 특성에 따라 좌우됩니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 생성할 수 있습니다. AntiXSS 라이브러리의 삭제 모듈을 사용하는 사이트만 이 취약점의 영향을 받습니다.

◈ 영향 받는 소프트웨어
- Microsoft Anti-Cross Site Scripting Library V3.x and Microsoft Anti-Cross Site Scripting Library V4.0

- 참조 사이트
영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-007
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-007


저작자 표시
신고
Posted by nProtect
1. 개 요


잉카인터넷 대응팀은 도움말 파일(HLP)의 취약점을 이용하여 악성파일이 해외에서 전파 중인 것을 발견하였다. 보통 이메일을 통한 전파에 자주 사용되는 실행파일(EXE, SCR)이나 문서파일(HWP, DOC, PPT, XLS, PDF)의 취약점이 아닌 도움말 파일(HLP)의 취약점을 이용하는 보기 드문 형태이다. 특정한 표적 공격이나 지능적이고 고도화된 위협에 빈번히 이용되는 악성파일 전파수법이 바로 이메일 첨부파일을 통한 악성파일 유포라는 점을 잊어서는 안된다. 특히,  지능적 공격자들은 알려져 있지 않은 취약점(Zero-Day Exploit) 등을 이용하거나 심리적으로 무심코 열어보기 쉽도록 구성한 이메일을 발송한다는 점에서 이메일 첨부파일을 열어볼 때는 항상 의심하고 예의주시할 필요가 있다.
  

유명 웹 사이트를 불법적으로 침입하여 대표적으로 Microsoft OS/Application, Flash Player, JAVA 취약점 등을 이용하여 불특정 다수를 감염 대상으로 삼는 전방위 유포 방식과 더불어 특정 인물만을 타깃 목표로 한 후 은닉화하고 지능화시킨 악성파일 감염 유도기법의 추세가 "공격자와 감염대상자 간에 1:1 방식의 고도화된 심리전 양상을 띄고 있다"는 점을 명심해야 한다.

새해 연하장 내용으로 유혹하는 악성파일 유의
http://erteam.nprotect.com/232

김정일 여동생 김경희 사진으로 가장한 악성파일 발견
http://erteam.nprotect.com/230

한글(HWP) 취약점을 이용한 악성파일 지속 등장
http://erteam.nprotect.com/216


2. 도움말 파일(HLP) 취약점 악용 사례


해당 이메일은 2011년 12월 29일에 해외의 특정 사용자에게 이메일로 발송된 것으로 발견되었으며, 수신자로 하여금 첨부파일을 열어보도록 유도시키고 있다.


이메일에 첨부되어 있는 "Call for Application at fundation.rar" 압축파일을 다운로드하여, 압축을 해제하면 "Call for Applications at fundation.hlp" 라는 도움말 파일이 포함되어 있다.


첨부파일을 실행하면 Windows 도움말 화면이 보여지면서 알 수 없는 문자열과 중국의 재스민 혁명과 관련된 도메인(http://www.molihua.org) 등이 포함되어 있는 문구들이 보여진다.


도움말 파일의 코드에는 WScript.Shell 명령수행을 통하여 내부에 7번행 부터 포함되어 있는 Visual Basic Script 코드의 함수를 별도의 파일(A.VBS)로 생성시키고, 실행하도록 만들어져 있다. 따라서 위의 도움말 화면이 보여지는 순간 사용자 몰래 컴퓨터에는 악성 스크립트 코드가 감염된다.

생성된 A.VBS 악성파일이 실행되면 C:\ 경로에 실제 숙주 악성파일 역할을 수행하는 setup.exe 파일이 생성되고 실행되며, 다시 Application Data 폴더에 360 이라는 새로운 폴더를 생성한 후 "Live360.exe" 파일명의 최종 악성파일을 설치하는 동작을 진행하며, A.VBS 나 setup.exe 파일은 감염 흔적 및 추적 등을 방해하기 위해서 삭제 처리한다.

Live360.exe 파일은 Microsoft 사의 Word 문서파일처럼 아이콘을 위장하고 있으며, 실행되면 winlogon.exe 파일을 통해서 중국 상하이의 특정 호스트로 접속을 하고 Command and Control(C&C) 명령을 수행한다.

잉카인터넷 대응팀에서 분석하는 시점에 악성파일은 호스트에서 공격자의 특정 명령을 받아 PASS.exe 파일을 추가로 감염시켜 사용자의 컴퓨터에 캐쉬형태로 저장되어 있는 이메일 계정 등을 유출 시도하는 것을 목격하였다.

저장되는 암호는 C:\Windows\System 폴더에 xhyj.htm 파일에 기록되며, Resource, Type, Account, Password 등을 수집하여 외부로 유출을 시도하며, 공격자의 C&C 명령 수행에 따라서 다양한 악성파일에 노출될 위험이 있다.

3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 도움말 파일(HLP)이 첨부된 이메일을 수신할 경우 무심코 실행하지 않도록 하며, 그외 다양한 보안 취약점을 통해서 유사 악성파일을 전파시킬 수 있으므로 최신 보안 패치를 설치하는 것도 중요하다. 별도로 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일의 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

저작자 표시
신고
Posted by nProtect

1. 개 요 


최근 Adobe측에서 새로운 Zero Day 취약점(CVE-2011-2462)에 관한 사항을 공개하였고, 이와 관련해 해당 취약점을 악용한 악성파일의 유포 정황이 확인되면서 사용자들의 각별한 주의가 요망되고 있다. Zero Day 취약점을 이용한 악성파일이 최근 트렌드화 되어 있는 사회공학 기법과 결합될 경우 다양한 범위에서 감염 및 피해 상황을 유발 할 수 있으며, Zero Day 취약점의 특성상 보안 패치가 발표되기 전까지는 제품 스스로의 보안성을 기대할 수 없다. 때문에 이러한 악성파일의 경우 사용자들 스스로 감염을 사전에 차단할 수 있도록 각별히 주의를 기울이는 것이 무엇보다 중요하다.

[Security Advisory for Adobe Reader and Acrobat]

☞ 
http://www.adobe.com/support/security/advisories/apsa11-04.html

[영향을 받는 소프트웨어 버전]

☞ Adobe Reader X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Reader 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh, UNIX)
☞ Adobe Acrobat X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Acrobat 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh)

  

2. 유포 경로 및 감염 증상


이번에 발견된 CVE-2011-2462 취약점을 악용한 악성파일은 PDF 형태로 이메일의 첨부파일이나, 특정 링크 접속 등을 통해 유포될 수 있다. 또한, 감염될 경우 U3D 메모리 변조로 인한 취약점에 노출되어 시스템 제어권을 공격자에게 허용할 수 있다고 알려졌다.

※ U3D(Universal 3D) 란?

☞ 3D 컴퓨터 그래픽 데이터에 대한 압축 파일 포멧


해당 악성 PDF 파일은 정상 PDF 파일에 취약점을 악용한 ShellCode가 삽입된 형태이며, 내부 내용은 아래의 그림과 같이 특정 회사의 내부 직원 만족도 조사의 내용처럼 구성되어 있는 것으로 알려져 있다.

해당 악성 PDF 파일이 실행되면 내부적으로 악성 ShellCode가 실행되며, 위 그림과 같은 정상적인 내용의 PDF 파일을 화면상에 출력하여 사용자를 속일 수 있다. 또한, 해당 악성 PDF 파일은 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

☞ C:\Documents and Settings\(사용자 계정)\Local Settings\pretty.exe
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\WSE4EF1.TMP
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\ctfmon.exe (pretty.exe와 동일한 파일)

위와 같이 생성된 추가적인 악성파일들은 외부의 C&C 서버와 지속적인 통신을 시도하는 것으로 알려졌으나, 현재는 해당 사이트가 모두 막혀있는 상태이다.

3. 예방 조치 방법

현재 Adobe 측에서는 해당 취약점과 관련해 다음주인 2011년 12월 12일경 Windows용 Adobe Reader 9.x, Adobe Acrobat 9.x 제품에 대한 보안 패치를 제공할 예정이라고 한다. 다만, Adobe Reader X, Adobe Acrobat X 제품의 경우 각각 보호모드와 보호뷰 기능을 통해 취약점을 통한 감염을 예방할 수 있어 해당 제품의 보안 패치는 2012년 1월 10일경 이루어질 것이라고 발표하였다.

아직까지 해당 취약점에 대한 확실한 보안패치가 이루어지지 않았기때문에 일반 사용자들은 반드시 아래와 같은 "보안 관리 수칙"을 준수하여 해당 취약점에 의한 피해를 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

 

저작자 표시
신고
Posted by nProtect