Microsoft Security Bulletin MS12-039 - 중요

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

이 취약점에 대한 대안을 확인하지 못했습니다.

이 취약점을 악용하면 어느 작업까지 가능합니까? 
이 취약점은 원격 코드 실행 취약점입니다.

취약점의 원인은 무엇입니까? 
이 취약점은 특수하게 조작된 TrueType 글꼴(TTF) 파일을 잘못 처리할 때 발생합니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까? 
취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한의 사용자 권한으로 로그온한 경우 공격자가 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

공격자는 이러한 취약점을 어떻게 악용합니까? 
공격자는 특수하게 조작된 TrueType 글꼴을 포함한 콘텐츠를 공유할 수 있습니다. 사용자가 특수하게 조작된 TrueType 글꼴을 포함한 공유 콘텐츠를 볼 때 취약점을 악용할 수 있습니다.

취약점으로 인해 위험에 노출되는 시스템은 주로 무엇입니까? 
워크스테이션과 터미널 서버가 주로 위험합니다. 관리자가 사용자가 서버에 로그온하여 프로그램을 실행할 수 있도록 허용할 경우, 서버가 더 위험할 수 있습니다. 가장 좋은 방법은 이러한 기능을 허용하지 않는 것입니다.

업데이트는 어떤 기능을 수행합니까? 
이 업데이트는 특수하게 조작된 TTF 파일을 처리하는 방식을 수정하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까? 
예. 이 취약점은 공개되었습니다. 이 취약점에는 CVE(Common Vulnerability and Exposure) 번호 CVE-2011-3402(영문)가 지정되었습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까? 
이 취약점은 이전에 제한적인 대상 공격을 통해 악용되었지만 악용되는 공격 경로는 MS11-087, Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점(2639417)에서 해결되었습니다. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 공지에서 해결된 공격 경로가 고객을 공격하는 데 공개적으로 사용되었다는 정보를 확인하지 못했습니다.

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

이 취약점에 대한 대안을 확인하지 못했습니다.

이 취약점을 악용하면 어느 작업까지 가능합니까? 
이 취약점은 원격 코드 실행 취약점입니다.

취약점의 원인은 무엇입니까? 
이 취약점은 특수하게 조작된 TrueType 글꼴(TTF) 파일을 잘못 처리할 때 발생합니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까? 
취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한의 사용자 권한으로 로그온한 경우 공격자가 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

공격자는 이러한 취약점을 어떻게 악용합니까? 
공격자는 특수하게 조작된 TrueType 글꼴을 포함한 콘텐츠를 공유할 수 있습니다. 사용자가 특수하게 조작된 TrueType 글꼴을 포함한 공유 콘텐츠를 볼 때 취약점을 악용할 수 있습니다.

취약점으로 인해 위험에 노출되는 시스템은 주로 무엇입니까? 
주로 워크스테이션이 이 취약점으로 인한 위험에 노출됩니다.

업데이트는 어떤 기능을 수행합니까? 
이 업데이트는 특수하게 조작된 TTF 파일을 처리하는 방식을 수정하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까? 
아니요. Microsoft는 조정된 취약점 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까? 
아니요. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 취약점이 고객을 공격하는 데 공개적으로 사용되었다는 정보를 확인하지 못했습니다.

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 합법적인 파일(예: .ocsmeet 파일)을 열어야 합니다.
• 파일 공유 프로토콜인 SMB(Server Message Block)는 경계 방화벽에서 자주 비활성화됩니다. 이것이 이 취약점의 가능한 공격 경로를 제한합니다.
• 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

대안이란 기본적인 취약점을 수정하지는 않지만 업데이트를 적용하기 전에 알려진 공격 경로를 차단하는 데 유용한 설정 또는 구성 변경을 지칭합니다. Microsoft는 다음과 같은 대안을 테스트했으며, 대안으로 인한 기능 저하 여부를 해당 항목에서 설명합니다.

• WebDAV 및 원격 네트워크 공유에서 라이브러리 로드 비활성화

  참고 고객이 원격 네트워크 또는 WebDAV 공유에서 라이브러리 로드를 비활성화할 수 있는 대안 도구를 배포하려면 Microsoft 기술 자료 문서 2264107을 참조하십시오. 이 도구는 응용 프로그램별 또는 글로벌 시스템별로 안전하지 않은 로드를 허용하지 않도록 구성할 수 있습니다.

  공급업체로부터 이 응용 프로그램의 취약점을 보고 받은 고객은 이 도구를 사용해 이 문제점의 악용을 방지할 수 있습니다.

  참고 SMB 및 WebDAV 공유의 라이브러리 로드를 차단하는 레지스트리 키를 배포하려면 Microsoft 기술 자료 문서 2264107을 참조하여 Microsoft Fix it 자동화 솔루션을 사용하십시오. 이 Fix it 솔루션을 사용하기 전에 먼저 Microsoft 기술 자료 문서 2264107에서 설명하는 대안 도구를 설치해야 합니다. 이 Fix it 솔루션은 레지스트리 키만 배포하며, 적용하기 위해서는 대안 도구가 필요합니다. 따라서 관리자는 이 Fix it 솔루션을 배포하기 전에 해당 KB 문서를 면밀히 검토하는 것이 좋습니다.

• WebClient 서비스 사용 안 함

  WebClient 서비스를 사용하지 않도록 설정하면, WebDAV(Web Distributed Authoring and Versioning) 클라이언트 서비스를 통해 가능성이 가장 높은 공격 경로를 차단함으로써 이 취약점을 악용하는 시도로부터 영향을 받는 시스템을 보호할 수 있습니다. 이 대안을 적용한 후에도 이 취약점을 성공적으로 악용한 원격 공격자가 시스템이 대상 사용자의 컴퓨터 또는 LAN에 설치된 프로그램을 실행하도록 할 가능성은 여전히 존재합니다. 하지만 이 경우에는 인터넷에서 임의의 프로그램을 열기 전에 사용자에게 확인 메시지가 표시됩니다.

  WebClient 서비스를 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.

  1. 시작, 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
  2. WebClient 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  3. 시작 유형을 사용 안 함으로 변경합니다. 서비스가 실행 중인 경우 중지를 클릭합니다.
  4. 확인을 클릭하고 관리 응용 프로그램을 종료합니다.

  대안의 영향. WebClient 서비스를 사용하지 않도록 설정한 경우 WebDAV(Web Distributed Authoring and Versioning) 요청이 전송되지 않습니다. 또한 명시적으로 WebClient 서비스를 사용하는 모든 서비스가 시작되지 않으며 시스템 로그에 오류 메시지가 기록됩니다. 예를 들어, 클라이언트 컴퓨터에서 WebDAV 공유에 액세스할 수 없게 됩니다.

  대안 실행 취소 방법.

  WebClient 서비스를 사용하도록 다시 설정하려면 다음 단계를 수행하십시오.

  1. 시작, 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
  2. WebClient 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  3. 시작 유형을 자동으로 변경합니다. 서비스가 실행 중인 경우 시작을 클릭합니다.
  4. 확인을 클릭하고 관리 응용 프로그램을 종료합니다.
• 방화벽에서 TCP 포트 139 및 445 차단

  이 포트들은 영향을 받는 구성 요소와 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TechNet 문서, TCP 및 UDP 포트 할당(영문)을 참조하십시오.

  대안의 영향. 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

  • SMB(CIFS)를 사용하는 응용 프로그램
  • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • Systems Management Server
  • 라이선스 로깅 서비스

  대안 실행 취소 방법. 방화벽에서 TCP 포트 139 및 445를 차단 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당(영문)을 참조하십시오.

이 취약점을 악용하면 어느 작업까지 가능합니까? 
이 취약점은 원격 코드 실행 취약점입니다.

취약점의 원인은 무엇입니까? 
이 취약점은 Microsoft Lync가 외부 라이브러리 로드에 사용되는 경로를 잘못 제한하기 때문에 발생합니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까? 
이 취약점 악용에 성공한 공격자는 현재 사용자 권한으로 임의 코드를 실행할 수 있습니다. 현재 사용자가 관리자 권한의 사용자 권한으로 로그온한 경우 공격자가 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

공격자는 이러한 취약점을 어떻게 악용합니까? 
공격자는 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Microsoft Lync 관련 파일(예: .ocsmeet 파일)을 열도록 유도할 수 있습니다. 이렇게 하면 합법적인 파일을 열 때 Microsoft Lync가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다.

전자 메일 공격 시나리오에서 공격자는 사용자에게 합법적인 Microsoft Lync 관련 파일(예: .ocsmeet 파일)을 전송하고 사용자가 특수하게 조작된 DLL 파일이 들어 있는 디렉터리에 해당 첨부 파일을 추가하고 합법적인 파일을 열도록 유도하여 이 취약점을 악용할 수 있습니다. 이렇게 하면 합법적인 파일을 열 때 Microsoft Lync가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다.

네트워크 공격 시나리오에서 공격자는 합법적인 Microsoft Lync 관련 파일 및 특수하게 조작된 DLL을 네트워크 공유, UNC 또는 WebDAV 위치에 두고 사용자가 파일을 열도록 유도할 수 있습니다.

취약점으로 인해 위험에 노출되는 시스템은 주로 무엇입니까? 
Microsoft Lync가 사용되는 워크스테이션, 터미널 서버 등과 같은 시스템이 주로 이 취약점으로 인한 위험에 노출됩니다. 관리자가 사용자가 서버에 로그온하여 프로그램을 실행할 수 있도록 허용할 경우, 서버가 더 위험할 수 있습니다. 가장 좋은 방법은 이러한 기능을 허용하지 않는 것입니다.

업데이트는 어떤 기능을 수행합니까? 
이 업데이트는 Microsoft Lync가 외부 라이브러리를 로드하는 방식을 수정하여 이 취약점을 해결합니다.

이 취약점은 Microsoft 보안 권고 2269637과 관련이 있습니까?
예, 이 취약점은 응용 프로그램이 Microsoft 보안 권고 2269637에 설명된 외부 라이브러리를 로드하는 방식에 영향을 미치는 취약점 클래스와 관련이 있습니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까? 
아니요. Microsoft는 조정된 취약점 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까? 
아니요. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 취약점이 고객을 공격하는 데 공개적으로 사용되었다는 정보를 확인하지 못했습니다.

이 취약점에 대해 확인된 완화 요소가 없습니다.

이 취약점에 대한 대안을 확인하지 못했습니다.

이 취약점을 악용하면 어느 작업까지 가능합니까? 
이는 정보 유출 취약점입니다. 이 취약점을 성공적으로 악용하는 공격자는 Lync 또는 Microsoft Communicator 사용자에게 사이트 간 스크립팅 공격을 수행할 수 있습니다. 또한 대상 사용자 대신 스크립트를 잠재적으로 실행할 수 있습니다.

취약점의 원인은 무엇입니까? 
이 취약점은 SafeHTML이 HTML을 삭제하는 방식으로 인해 발생합니다.

이 취약점은 MS12-037의 CVE-2012-1858 , Internet Explorer 누적 보안 업데이트와 관련이 있습니까? 
예, HTML 삭제 취약점(CVE-2012-1858)은 Internet Explorer에도 영향을 미칩니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까? 
이 취약점을 성공적으로 악용하는 공격자는 Lync 또는 Microsoft Communicator 사용자에게 사이트 간 스크립팅 공격을 수행할 수 있습니다. 또한 대상 사용자 대신 스크립트를 잠재적으로 실행할 수 있습니다.

공격자는 이러한 취약점을 어떻게 악용합니까? 
공격자가 이 취약점을 악용하려면 특수하게 조작된 스크립트를 Lync 또는 Microsoft Communicator 채팅 창에 제출할 수 있어야 합니다. 이 취약점으로 인해, 특수하게 조작된 스크립트는 특정 상황에서 적절하게 삭제되지 않으며, 이는 악성 콘텐츠를 보는 사용자의 보안 컨텍스트에서 공격자 제공 스크립트가 실행되는 결과로 이어질 수 있습니다.

이 취약점을 이용한 사이트 간 스크립팅 공격의 경우 사용자가 특수하게 조작된 채팅 메시지를 받아야 악의적인 동작이 발생합니다.

취약점으로 인해 위험에 노출되는 시스템은 주로 무엇입니까? 
워크스테이션 또는 터미널 서버와 같이 Lync 또는 Microsoft Communicator를 빈번하게 사용하는 시스템은 이 취약점을 이용하는 공격을 받을 위험이 가장 큽니다.

업데이트는 어떤 기능을 수행합니까? 
업데이트는 SafeHTML에서 HTML 콘텐츠를 삭제하는 방식을 수정하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까? 
아니요. Microsoft는 조정된 취약점 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까? 
아니요. Microsoft는 이 보안 공지를 처음에 게시했을 때 이 취약점이 고객을 공격하는 데 공개적으로 사용되었다는 정보를 확인하지 못했습니다.

참조 표

다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.