Microsoft Security Bulletin MS10-095 - 중요

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
• 파일 공유 프로토콜인 SMB(Server Message Block)는 경계 방화벽에서 자주 비활성화됩니다. 이것이 이 취약점의 가능한 공격 경로를 제한합니다.

대안이란 기본적인 취약점을 수정하지는 않지만 업데이트를 적용하기 전에 알려진 공격 경로를 차단하는 데 유용한 설정 또는 구성 변경을 지칭합니다. Microsoft는 다음과 같은 대안을 테스트했으며, 대안으로 인한 기능 저하 여부를 해당 항목에서 설명합니다.

• WebDAV 및 원격 네트워크 공유에서 라이브러리 로드 비활성화

  참고 고객이 WebDAV 및 원격 네트워크 공유에서 라이브러리 로드를 비활성화할 수 있는 대안 도구를 배포하려면 Microsoft 기술 자료 문서 2264107을 참조하십시오. 이 도구는 응용 프로그램별 또는 글로벌 시스템별로 안전하지 않은 로드를 허용하지 않도록 구성할 수 있습니다.

  공급업체로부터 이 응용 프로그램의 취약점을 보고 받은 고객은 이 도구를 사용해 이 문제점의 악용을 방지할 수 있습니다.

  참고 SMB 및 WebDAV 공유의 라이브러리 로드를 차단하는 레지스트리 키를 배포하려면 Microsoft 기술 자료 문서 2264107을 참조하여 Microsoft Fix it 자동화 솔루션을 사용하십시오. 이 Fix it 솔루션을 사용하기 전에 먼저 Microsoft 기술 자료 문서 2264107에서 설명하는 대안 도구를 설치해야 합니다. 이 Fix it 솔루션은 레지스트리 키만 배포하며, 적용하기 위해서는 대안 도구가 필요합니다. 따라서 관리자는 이 Fix it 솔루션을 배포하기 전에 해당 KB 문서를 면밀히 검토하는 것이 좋습니다.

• WebClient 서비스 사용 안 함

  WebClient 서비스를 사용하지 않도록 설정하면, WebDAV(Web Distributed Authoring and Versioning) 클라이언트 서비스를 통해 가능성이 가장 높은 공격 경로를 차단함으로써 이 취약점을 악용하는 시도로부터 영향을 받는 시스템을 보호할 수 있습니다. 이 대안을 적용한 후에도 이 취약점을 성공적으로 악용한 원격 공격자가 시스템이 대상 사용자의 컴퓨터 또는 LAN에 설치된 프로그램을 실행하도록 할 가능성은 여전히 존재합니다. 하지만 이 경우에는 인터넷에서 임의의 프로그램을 열기 전에 사용자에게 확인 메시지가 표시됩니다.

  WebClient 서비스를 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.

  1. 시작, 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
  2. WebClient 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  3. 시작 유형을 사용 안 함으로 변경합니다. 서비스가 실행 중인 경우 중지를 클릭합니다.
  4. 확인을 클릭하고 관리 응용 프로그램을 종료합니다.

  대안의 영향. WebClient 서비스를 사용하지 않도록 설정한 경우 WebDAV(Web Distributed Authoring and Versioning) 요청이 전송되지 않습니다. 또한 명시적으로 WebClient 서비스를 사용하는 모든 서비스가 시작되지 않으며 시스템 로그에 오류 메시지가 기록됩니다. 예를 들어, 클라이언트 컴퓨터에서 WebDAV 공유에 액세스할 수 없게 됩니다.

  대안 실행 취소 방법.

  WebClient 서비스를 사용하도록 다시 설정하려면 다음 단계를 수행하십시오.

  1. 시작, 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
  2. WebClient 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  3. 시작 유형을 자동으로 변경합니다. 서비스가 실행 중인 경우 시작을 클릭합니다.
  4. 확인을 클릭하고 관리 응용 프로그램을 종료합니다.
• 방화벽에서 TCP 포트 139 및 445 차단

  이 포트들은 영향을 받는 구성 요소와 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TechNet 문서, TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

  대안의 영향. 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

  • SMB(CIFS)를 사용하는 응용 프로그램
  • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • Systems Management Server
  • 라이선스 로깅 서비스

  대안 실행 취소 방법. 방화벽에서 TCP 포트 139 및 445를 차단 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

이 취약점을 악용하면 어느 작업까지 가능합니까?  
이 취약점은 원격 코드 실행 취약점입니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

취약점의 원인은 무엇입니까?  
Windows가 Windows BranchCache에서 사용되는 특정 DLL이 시스템에 있는지 여부를 검사하려고 시도할 때 취약점이 발생합니다. 기본 DLL이 시스템에 없을 경우 먼저 Windows 폴더 구조의 안전한 로컬 위치에서 이 바이너리를 검색합니다. 하지만 찾을 수 없는 경우 응용 프로그램은 네트워크 공유와 같이 안전하지 않은 위치가 될 수 있는 파일이 열린 위치에서 파일 찾기를 시도합니다. 이러한 대체 위치에 있는 특수하게 조작된 파일을 악용하면 로그온한 사용자의 컨텍스트에서 공격자가 선택한 코드를 실행할 수 있습니다.

Windows BranchCache에서 로드하는 특정 라이브러리는 BranchCache 지원 기능이 있는 Windows 릴리스에만 존재합니다. 이러한 플랫폼은 Windows 7 Enterprise/Ultimate 및 Windows Server 2008 R2입니다. 다른 Windows 7 릴리스의 경우 시스템의 관련 위치에 이 바이너리가 없으며 기본적으로 취약점의 영향을 받지 않습니다. BranchCache DLL이 기본 위치에 존재하지 않을 경우 모든 Windows 7 및 Windows Server 2008 R2 릴리스가 취약점에 노출될 수 있습니다.

Windows BranchCache란 무엇입니까?  
BranchCache는 Windows Server 2008 R2 및 Windows 7 운영 체제의 일부 에디션에 포함되어 있는 WAN(wide area network) 대역폭 최적화 기술입니다. WAN 대역폭 최적화를 위해 BranchCache는 본사 콘텐츠 서버에서 콘텐츠를 복사하고 지사 위치에서 콘텐츠를 캐시에 저장하여 지사의 클라이언트 컴퓨터가 WAN을 통하지 않고 로컬로 콘텐츠에 액세스할 수 있도록 합니다. 자세한 내용은 Windows Server 2008 R2 및 BranchCache를 참조하십시오.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까?  
이 취약점을 악용에 성공한 공격자는 로그온한 사용자 자격으로 임의 코드를 실행할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 사용자가 관리자 권한의 사용자 권한으로 로그온한 경우 공격자가 영향을 받는 시스템을 완전히 제어할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

공격자는 이러한 취약점을 어떻게 악용합니까?  
공격자는 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 .eml 및 .rss(Windows Live 메일) 또는 .wpost(Microsoft Live Writer)와 같은 특정 Windows 응용 프로그램에서 열리는 합법적인 파일 형식을 열도록 유도할 수 있습니다. 이렇게 하면 합법적인 파일을 열 때 BranchCache가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다.

전자 메일 공격 시나리오에서 공격자는 합법적인 .eml, .rss 또는 .wpost 첨부 파일을 사용자에게 보내고 사용자가 특수하게 조작된 DLL 파일이 들어 있는 디렉터리에 첨부 파일을 두고 합법적인 파일을 열도록 유도하여 취약점을 악용할 수 있습니다. 이렇게 하면 합법적인 파일을 열 때 Windows Live 메일 또는 Microsoft Live Writer가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다.

네트워크 시나리오에서 공격자는 합법적인 파일 및 특수하게 조작된 DLL을 UNC 또는 WebDAV 위치에 두고 사용자가 합법적인 파일을 열도록 유도할 수 있습니다.

취약점으로 인해 주로 공격 받을 위험이 있는 시스템은 무엇입니까?  
사용자가 신뢰할 수 없는 네트워크 위치에서 첨부 파일을 열 가능성이 있는 워크스테이션이 주로 이 취약점에 노출됩니다. 관리자가 사용자가 서버에 로그온하여 프로그램을 실행할 수 있도록 허용한 경우에도 서버가 위험할 수 있습니다. 가장 좋은 방법은 이러한 기능을 허용하지 않는 것입니다.

업데이트는 어떤 기능을 수행합니까?  
업데이트는 Windows BranchCache에서 외부 라이브러리를 로드하는 방식을 수정하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까?  
아니요. Microsoft는 조정된 취약점 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?  
아니요. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 취약점이 고객을 공격하는 데 공개적으로 사용되었다는 정보를 확인하지 못했습니다.

참조 표

다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.

참조 표

다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.