MS는 15일 MS오피스(엑셀), 인터넷 익스플로러, 윈도우 기본 서비스(RPC) 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 11건(긴급 4, 중요 6, 보통 1)을 발표했다. 개인PC사용자와 기업, 각급 기관은 해당 시스템에 대한 MS의 보안 업데이트를 조속히 설치해야 한다. 업데이트해야 할 취약점 사항은 다음과 같다.

1. Microsoft Excel 취약점으로 인한 원격코드실행 문제(긴급)

마이크로소프트 엑셀에서 조작된 엑셀파일을 처리하는 과정에서 원격코드 실행 취약점 존재하여 공격자는 엑셀 파일을 웹페이지에 게시한 후 사용자의 방문을 유도하거나 이메일 첨부를 통해 첨부파일을 열어보도록 유도하여 취약시스템을 완전히 장악할 수 있다.

2. Internet Explorer 누적 보안 업데이트(긴급)

인터넷 익스플로러에서 조작된 웹 페이지를 방문할 경우 정보 유출 및 원격코드실행 취약점이 존재하여 공격자는 악의적인 웹페이지를 구축한 후 사용자가 방문하도록 유도하여 취약시스템에 대해 완전한 권한 획득 가능하다.

3. Host Integration Server RPC Service 취약점으로 인한 원격코드실행 문제(긴급)

공격자가 Host Integration Server 시스템을 대상으로 조작된 Remote Procedure Call(RPC) 요청을 보낼 경우 원격코드실행 취약점이 발생하여 취약시스템에 대해 완전한 권한획득이 가능하다.

*HIS(Host Integration Server): 기업조직내 기 구축된 프로그램 서버, 데이터, 보안시스템 등을 MS 플랫폼으로 새롭게 통합하기 위한 제품

*RPC(Remote Procedure Call): 한 프로그램이 네트워크 상의 다른 컴퓨터에 위치하고 있는 프로그램에 서비스를 요청하는데 사용되는 프로토콜

4. Active Directory 취약점으로 인한 원격코드실행 문제(긴급)

공격자가 취약시스템을 대상으로 조작된 LDAP나 LDAPS 요청을 보냈을 경우 원격코드실행 취약점이 발생하여 공격이 성공하면 취약시스템에 대해 완전한 권한획득이 가능하다.

*LDAP(Lightweight Directory Access Protocol): 인터넷/네트워크 상에 있는 파일이나 장치들과 같은 자원등의 위치를 찾을 수 있게 해주는 프로토콜, LDAPS(LDAP over SSL)은 LDAP 데이터를 암호화하여 전송 및 수신

5. Windows Kernel 취약점으로 인한 권한상승 문제(중요)

윈도우 커널에 원격코드실행 취약점이 존재하여 공격이 성공되면 취약시스템에 대해 완전한 권한획득 및 권한상승이 가능하다.

6. 윈도우 인터넷 프린팅 서비스의 취약점으로 인한 원격코드실행 문제(중요)

IPS가 구동중인 윈도우 시스템에서 인터넷 프린팅 서비스가 활성화된 경우에 원격코드실행 취약점이 존재하여 원격의 인증된 공격자는 취약시스템 상에서 임의의 코드실행이 가능하다.

*Internet Printing Service, Windows XP가 설치된 클라이언트에서 임의지역에 위치한 프린터로 HTTP 데이터를 전송하여 프린트하는 기능

7. SMB 취약점으로 인한 원격코드실행 문제(중요)

SMB 프로토콜에 특별하게 조작된 파일 이름을 처리하는 과정에서 원격코드실행 취약점이 존재하여 공격에 성공하면 취약시스템에 대해 원격코드 실행이 가능하다. 그러나 파일이나 폴더를 공유하는 시스템인 경우에만 취약한 함수가 사용되므로 공격을 성공하기 위해서는 사전 인증이 필요하다.

*SMB(Server Message Block): 파일이나 디렉토리 및 주변장치들을 공유하는데 사용되는 메시지 형식

8. VAD 조작 취약점으로 인한 권한상승 문제(중요)

메모리 관리자가 메모리 할당 및 VAD를 처리하는 과정에 권한상승 취약점이 존재하여 로컬의 공격자는 특수하게 조작된 응용프로그램을 실행하여 취약시스템에 대해 보다 높은 권한획득이 가능하다.

*VAD(Virtual Address Descriptor): 메모리 관리자에 의해 프로세스의 주소공간에 메모리 할당에 대한 상태를 기술하는 이진트리 구조체

9. 메시지 큐잉 취약점으로 인한 원격코드실행 문제(중요)

Message Queuing Service(MSMQ)가 활성화된 윈도우 2000 시스템에서 RPC 요청을 파싱하는 과정에서 취약한 문자열 복사과정에 원격코드실행 취약점이 존재하여 공격자는 특별하게 조작된 RPC 요청을 보냄으로서 취약시스템에 대한 완전한 권한획득이 가능하다.

*MSMQ(MS Message Queuing): 다른 네트워크나 시스템에서 동작하는 응용 프로그램간 통신기능 제공

10. 보조기능 드라이버 취약점으로 인한 권한상승 문제(중요)

사용자 모드에서 전달된 입력값을 커널에서 적절한 검증과정을 거치지 않아 Ancillary Function Driver(afd. sys)부분에서 권한상승 취약점이 존재한다.

*AFD(Ancillary Function Driver): Winsock과 같은 네트워크 통신을 담당하지만 kernel mode에서 동작하는 드라이버

11. Microsoft Office 정보 유출 취약점(보통)

Microsoft Office에서 사용자가 조작된 CDO URL을 클릭할 경우 정보유출 취약점이 존재하여 사용자의 브라우저에 클라이언트 사이드 스크립트가 주입될 수 있다. 공격자는 주입된 스크립트를 통하여 사용자가 브라우저를 통해 접근하는 정보를 획득할 수 있다.

*CDO(Collaboration Data Objects): 메시징 프로그램을 만들거나, 애플리케이션 프로그램들 간의 협동, 또는 이러한 기능들을 기존의 애플리케이션에 추가하기 위한 마이크로소프트의 기술

■마이크로소프트 업데이트

update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>