Microsoft 보안 권고 2269637

안전하지 않은 라이브러리 로드로 원격 코드 실행을 허용할 수 있음

게시 날짜: 2010년 8월 23일 | 업데이트: 2014년 5월 13일

버전: 19.0

일반 정보

요약

Microsoft는 애플리케이션이 외부 라이브러리를 로드하는 방법에 영향을 주는 취약성 클래스에 대한 원격 공격 벡터를 자세히 설명하는 연구가 게시되었음을 알고 있습니다.

이 문제는 소위 "이진 심기" 또는 "DLL 사전 로드 공격"을 허용하는 특정 안전하지 않은 프로그래밍 사례로 인해 발생합니다. 이러한 사례를 통해 공격자가 신뢰할 수 없는 위치에서 파일을 열 때 취약한 애플리케이션을 실행하는 사용자의 컨텍스트에서 임의 코드를 원격으로 실행할 수 있습니다.

이 문제는 외부 라이브러리를 로드할 때 애플리케이션이 정규화되지 않은 경로를 전달하여 발생합니다. Microsoft는 MSDN 문서인 Dynamic-Link 라이브러리 보안에서 사용 가능한 애플리케이션 프로그래밍 인터페이스를 올바르게 사용하여 이러한 취약성 클래스를 방지하는 방법에 대한 지침을 개발자에게 발표했습니다. 또한 Microsoft는 Microsoft 취약성 조사 프로그램을 통해 타사 공급업체에 적극적으로 연락하여 운영 체제에서 사용할 수 있는 완화 방법을 알리고 있습니다. 또한 Microsoft는 영향을 받을 수 있는 자체 애플리케이션을 적극적으로 조사하고 있습니다.

Microsoft는 이 지침 외에도 시스템 전체 또는 특정 애플리케이션에 대한 라이브러리 로드 동작을 변경하여 시스템 관리자가 이 새로운 공격 벡터의 위험을 완화할 수 있는 도구를 릴리스하고 있습니다. 이 권고는 이 도구의 기능 및 고객이 시스템을 보호하기 위해 수행할 수 있는 기타 작업에 대해 설명합니다.

완화 요소:

• 이 문제는 외부 라이브러리를 안전하게 로드하지 않는 애플리케이션에만 영향을 줍니다. Microsoft는 이전에 MSDN 문서인 Dynamic-Link 라이브러리 보안에서 개발자를 위한 지침을 게시했으며, 이러한 공격로부터 안전한 라이브러리를 로드하는 대체 방법을 권장합니다.
• 공격이 성공하려면 사용자는 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하여 이 위치에서 취약한 애플리케이션에 의해 로드되는 문서를 열어야 합니다.
• 파일 공유 프로토콜 SMB는 경계 방화벽에서 비활성화되는 경우가 많습니다. 이렇게 하면 이 취약성에 대한 가능한 공격 벡터가 제한됩니다.

안전하지 않은 라이브러리 로드와 관련된 업데이트:

2010년 11월 9일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS10-087, "Microsoft Office의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

2010년 12월 14일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS10-093" "Windows Movie Maker의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS10-094, "Windows 미디어 인코더의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소를 지원합니다.
• Microsoft 보안 게시판 MS10-095" "Microsoft Windows의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS10-096, "Windows 주소록의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소를 지원합니다.
• Microsoft 보안 게시판 MS10-097, "인터넷 커넥트온 등록 마법사의 안전하지 않은 라이브러리 로드는 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 1월 11일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS11-001, "Windows 백업 관리자의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 2월 8일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS11-003 "Internet Explorer에 대한 누적 보안 업데이트"는 이 권고에 설명된 안전하지 않은 라이브러리 로딩 취약성 클래스의 영향을 받는 Internet Explorer의 취약한 구성 요소에 대한 지원을 제공합니다.

업데이트 2011년 3월 8일에 릴리스되었습니다.

• Microsoft 보안 게시판 MS11-015" "Windows Media의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS11-016, "Microsoft Groove의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS11-017" "원격 데스크톱 클라이언트의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소를 지원합니다.

업데이트 2011년 4월 12일에 릴리스되었습니다.

• Microsoft 보안 게시판 MS11-023" "Microsoft Office의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS11-025, "MFC(Microsoft Foundation Class) 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로딩 클래스의 영향을 받는 MFC(Microsoft Foundation Class) 라이브러리를 사용하여 빌드된 특정 애플리케이션에서 취약한 구성 요소를 지원합니다.

2011년 7월 12일에 릴리스된 업데이트

• Microsoft 기술 자료 문서의 업데이트 는 개발자가 외부 라이브러리를 올바로 안전하게 로드할 수 있도록 Windows에서 API(애플리케이션 프로그래밍 인터페이스) 기능을 구현하는 2533623 . Windows용 이 업데이트는 자동 업데이트를 통해 업데이트를 아직 받지 못한 고객을 위해 "높은 우선 순위" 업데이트 범주에서 사용할 수 있습니다.

  개발자는 이 업데이트에서 제공하는 API 향상 기능을 활용하기 위해 Microsoft 기술 자료 문서 2533623 제공된 지침에 따라 "DLL 미리 로드" 또는 "이진 심기" 공격을 방지하기 위해 프로그램이 DLL을 제대로 로드하도록 할 수 있습니다.

• Microsoft 보안 게시판 MS11-055" "Microsoft Visio의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 8월 9일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS11-059, "데이터 액세스 구성 요소의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

업데이트 2011년 9월 13일에 릴리스되었습니다.

• Microsoft 보안 게시판 MS11-071, "Windows 구성 요소의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS11-073" "Microsoft Office의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

업데이트 2011년 10월 11일에 릴리스되었습니다.

• Microsoft 보안 게시판 MS11-075, "Microsoft Active Accessibility의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS11-076, "Windows Media Center의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 11월 8일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS11-085, "Windows 메일 및 Windows 모임 공간의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 12월 13일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS11-099" "Internet Explorer용 누적 보안 업데이트"는 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS11-094, "Microsoft PowerPoint의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

업데이트 2012년 2월 14일에 릴리스되었습니다.

• Microsoft 보안 게시판 MS12-012, "색의 취약성 제어판 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
• Microsoft 보안 게시판 MS12-014, "Indeo Codec의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 3월 13일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS12-022, "식 디자인의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft 식 디자인의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 6월 12일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS12-039, "Lync의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Lync의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 7월 10일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS12-046, "Visual Basic for Applications의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 애플리케이션용 Microsoft Visual Basic의 취약한 구성 요소를 지원합니다.

2012년 11월 13일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS12-074" ".NET Framework의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft .NET Framework의 취약한 구성 요소에 대한 지원을 제공합니다.

2014년 5월 13일에 릴리스된 업데이트

• Microsoft 보안 게시판 MS14-023" "Microsoft Office의 취약성으로 원격 코드 실행을 허용할 수 있음"은 이 권고에 설명된 안전하지 않은 라이브러리 로드 클래스의 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

영향을 받는 소프트웨어

Microsoft는 자체 애플리케이션이 안전하지 않은 라이브러리 로드 취약성의 영향을 받는지 여부를 조사하고 있으며 고객을 보호하기 위해 적절한 조치를 취할 것입니다.

권고 FAQ

개발자는 이 문제를 방지하는 방법에 대한 지침을 어디서 찾을 수 있나요?
2011년 6월 14일부터 Microsoft 기술 자료 문서 2533623 업데이트는 개발자가 외부 라이브러리를 정확하고 안전하게 로드할 수 있도록 Windows에서 API(애플리케이션 프로그래밍 인터페이스) 향상된 기능을 구현합니다. 개발자는 Microsoft 기술 자료 문서 2533623 제공된 지침에 따라 업데이트에서 제공하는 API 향상 기능을 활용해야 합니다.

Microsoft는 또한 개발자가 외부 라이브러리를 정확하고 안전하게 로드할 수 있도록 Windows에서 사용할 수 있는 다양한 API(애플리케이션 프로그래밍 인터페이스)를 설명하는 MSDN 문서 인 Dynamic-Link 라이브러리 보안을 게시했습니다.

Microsoft는 Microsoft 취약성 연구 프로그램을 통해 개발자와 협력하여 제품에서 이 취약성을 방지하는 방법에 대한 정보를 공유합니다. 이 문제에 대해 Windows에서 사용할 수 있는 완화에 대한 질문이 있는 소프트웨어 공급업체 및 ISV는 추가 완화 정보를 문의하도록 초대됩니다.

문제의 범위는 무엇인가요?
Microsoft는 알려진 취약성 클래스에 대한 새로운 원격 공격 벡터를 설명하는 다수의 보안 연구원이 발표한 연구를 알고 있습니다. 애플리케이션은 외부 라이브러리의 경로를 충분히 한정할 수 없는 경우 영향을 받습니다.

이 위협의 원인은 무엇인가요?
이 악용은 애플리케이션이 로드하려는 라이브러리의 정규화된 경로를 직접 지정하지 않을 때 발생할 수 있습니다. 애플리케이션을 개발하는 방법에 따라 애플리케이션의 지시에 따라 Windows는 파일 시스템의 특정 위치에서 필요한 라이브러리를 검색하고, 파일을 찾은 경우 로드합니다.

SearchPath와 같은 일부 API(애플리케이션 프로그래밍 인터페이스)는 애플리케이션 라이브러리가 아닌 문서를 위한 검색 순서를 사용합니다. 이 API를 사용하는 애플리케이션은 공격자가 제어할 수 있는 CWD(현재 작업 디렉터리)에서 라이브러리를 로드하려고 할 수 있습니다. MSDN 문서 Dynamic-Link 라이브러리 보안에 설명된 특정 방식으로 사용되는 경우 다른 API도 유사한 동작으로 이어질 수 있습니다.

WebDAV 또는 SMB와 같은 네트워크 공유의 경우 이 위치에 쓸 수 있는 공격자는 특별히 만들어진 라이브러리를 업로드할 수 있습니다. 이 시나리오에서 애플리케이션은 특별히 만들어진 라이브러리를 로드하려고 시도합니다. 그러면 로그온한 사용자의 보안 컨텍스트에서 클라이언트 시스템에서 임의의 코드를 실행할 수 있습니다.

공격자가 이 취약성을 사용하여 수행할 수 있는 작업은 무엇인가요?
이 취약성을 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 사용자가 관리자 권한으로 로그온한 경우 이 취약성을 성공적으로 악용한 공격자가 영향을 받는 시스템을 완전히 제어할 수 있습니다. 그렇게 되면 공격자는 프로그램을 설치할 수 있고, 데이터를 열람하거나 변경 또는 삭제할 수 있으며, 모든 사용자 권한을 갖고 새 계정을 만들 수 있습니다.

시스템의 로컬 폴더에 대한 액세스 권한이 이미 있는 공격자는 높은 권한으로 실행되는 로컬 애플리케이션에서 DLL 미리 로드 취약성을 사용하여 시스템에 대한 액세스 권한을 높일 수 있습니다.

공격자가 이 취약성을 어떻게 악용할 수 있나요?
이 취약성을 사용하려면 공격자가 원격 네트워크 위치에서 취약한 프로그램을 사용하여 파일을 열도록 사용자를 설득해야 합니다. 애플리케이션이 필수 또는 선택적 라이브러리 중 하나를 로드하는 경우 취약한 애플리케이션은 원격 네트워크 위치에서 라이브러리를 로드하려고 시도할 수 있습니다. 공격자가 이 위치에 특별히 만들어진 라이브러리를 제공하는 경우 공격자는 사용자의 컴퓨터에서 임의의 코드를 실행하는 데 성공할 수 있습니다.

이 취약성에 대한 원격 공격 벡터는 무엇인가요?
이 취약성은 WebDAV 및 SMB와 같은 네트워크 파일 시스템(이에 국한되지 않음)을 통해 악용될 수 있습니다. 공격자는 이러한 프로토콜을 통해 다운로드할 파일을 제공할 수 있습니다. 이 파일을 여는 데 사용된 애플리케이션이 외부 라이브러리를 안전하게 로드하지 않으면 해당 파일을 여는 사용자가 이 취약성에 노출될 수 있습니다.

Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
이 취약성을 해결하려면 타사 공급업체가 영향을 받는 해당 애플리케이션에 대한 보안 업데이트를 실행해야 할 수 있습니다. 이 보안 권고의 일환으로 Microsoft는 고객이 애플리케이션별 및 전역 구성 설정을 통해 원격 공격 벡터의 위험을 해결하는 데 도움이 되는 선택적 완화 도구를 릴리스합니다.

또한 Microsoft는 자체 애플리케이션이 DLL 사전 로드 취약성의 영향을 받는지 여부를 조사하고 있으며 고객을 보호하기 위해 적절한 조치를 취할 것입니다.

DLL(동적 링크 라이브러리)이란?
DLL은 둘 이상의 프로그램에서 동시에 사용할 수 있는 코드와 데이터를 포함하는 라이브러리입니다. 예를 들어 Windows 운영 체제에서 Comdlg32 DLL은 일반적인 대화 상자 관련 기능을 수행합니다. 따라서 각 프로그램은 이 DLL에 포함된 기능을 사용하여 열기 대화 상자를 구현할 수 있습니다. 이렇게 하면 코드 재사용 및 효율적인 메모리 사용량을 승격할 수 있습니다.

DLL을 사용하면 프로그램을 별도의 구성 요소로 모듈화할 수 있습니다. 예를 들어 회계 프로그램은 모듈에서 판매될 수 있습니다. 해당 모듈이 설치된 경우 런타임에 각 모듈을 기본 프로그램에 로드할 수 있습니다. 모듈은 분리되어 있으므로 프로그램의 로드 시간이 더 빨라지고 해당 기능이 요청될 때만 모듈이 로드됩니다.

WebDAV(웹 기반 분산 제작 및 버전 관리)란?
WebDAV(웹 기반 분산 제작 및 버전 관리)는 클라이언트가 웹에서 리소스를 게시, 잠금 및 관리할 수 있도록 HTTP/1.1 프로토콜을 확장합니다. IIS에 통합된 WebDAV를 사용하면 클라이언트에서 다음을 수행할 수 있습니다.

• 서버의 WebDAV 게시 디렉터리에서 리소스를 조작합니다. 예를 들어 올바른 권한이 할당된 사용자는 WebDAV 디렉터리에서 파일을 복사하고 이동할 수 있습니다.
• 특정 리소스와 연결된 속성을 수정합니다. 예를 들어 사용자는 파일의 속성 정보를 쓰고 검색할 수 있습니다.
• 여러 사용자가 동시에 파일을 읽을 수 있도록 리소스를 잠그고 잠금 해제합니다.
• WebDAV 디렉터리에서 파일의 콘텐츠 및 속성을 검색합니다.

Microsoft SMB(Server Message Block) 프로토콜이란?
Microsoft SMB(Server Message Block) 프로토콜은 Microsoft Windows에서 사용되는 Microsoft 네트워크 파일 공유 프로토콜입니다. SMB에 대한 자세한 내용은 MSDN 문서, Microsoft SMB 프로토콜 및 CIFS 프로토콜 개요를 참조하세요.

제안된 작업

• 영향을 받는 소프트웨어에 대한 업데이트 적용

  사용 가능한 업데이트는 안전하지 않은 라이브러리 로드와 관련된 섹션 업데이트 참조하세요.

• 해결 방법 적용

  해결 방법은 기본 문제를 수정하지 않지만 보안 업데이트를 사용할 수 있기 전에 알려진 공격 벡터를 차단하는 데 도움이 되는 설정 또는 구성 변경을 참조합니다. 자세한 내용은 다음 섹션인 해결 방법을 참조하세요.

해결 방법

• WebDAV 및 원격 네트워크 공유에서 라이브러리 로드 사용 안 함

  참고 : 고객이 원격 네트워크 또는 WebDAV 공유에서 라이브러리 로드를 사용하지 않도록 설정할 수 있는 해결 방법 도구를 배포하려면 Microsoft 기술 자료 문서 2264107 참조하세요. 이 도구는 애플리케이션별 또는 전역 시스템 기준으로 안전하지 않은 로드를 허용하지 않도록 구성할 수 있습니다.

  공급업체에서 취약한 애플리케이션에 대한 정보를 받은 고객은 이 도구를 사용하여 이 문제를 악용하려는 시도로부터 보호할 수 있습니다.

  참고: 자동화된 Microsoft Fix it 솔루션을 사용하여 레지스트리 키를 배포하여 SMB 및 WebDAV 공유에 대한 라이브러리 로드를 차단하려면 Microsoft 기술 자료 문서 2264107 참조하세요. 이 해결 솔루션을 사용하려면 먼저 Microsoft 기술 자료 문서 2264107 설명된 해결 방법 도구를 설치해야 합니다. 이 해결 솔루션은 레지스트리 키만 배포하고 효과적인 해결 방법이 필요합니다. 관리자가 이 해결 솔루션을 배포하기 전에 KB 문서를 면밀히 검토하는 것이 좋습니다.

  ** **

• WebClient 서비스 사용 안 함

  WebClient 서비스를 사용하지 않도록 설정하면 WebDAV(웹 분산 제작 및 버전 관리) 클라이언트 서비스를 통해 가장 가능성이 높은 원격 공격 벡터를 차단하여 영향을 받는 시스템이 이 취약성을 악용하려는 시도로부터 보호할 수 있습니다. 이 해결 방법을 적용한 후에도 이 취약성을 성공적으로 악용한 원격 공격자가 시스템이 대상 사용자의 컴퓨터 또는 LAN(로컬 영역 네트워크)에 있는 프로그램을 실행하도록 할 수 있지만, 인터넷에서 임의 프로그램을 열기 전에 사용자에게 확인 메시지가 표시됩니다.

  WebClient 서비스를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
  2. WebClient 서비스를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
  3. 시작 유형을 사용 안 함으로 변경합니다. 서비스가 실행 중인 경우 중지를 클릭합니다.
  4. 확인을 클릭하고 관리 애플리케이션을 종료합니다.

  해결 방법의 영향. WebClient 서비스를 사용하지 않도록 설정하면 WebDAV(Web Distributed Authoring and Versioning) 요청이 전송되지 않습니다. 또한 웹 클라이언트 서비스에 명시적으로 의존하는 서비스는 시작되지 않으며 시스템 로그에 오류 메시지가 기록됩니다. 예를 들어 WebDAV 공유는 클라이언트 컴퓨터에서 액세스할 수 없습니다.

  해결 방법을 실행 취소하는 방법입니다.

  WebClient 서비스를 다시 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
  2. WebClient 서비스를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
  3. 시작 유형을 자동으로 변경합니다. 서비스가 실행되고 있지 않으면 시작을 클릭합니다.
  4. 확인을 클릭하고 관리 애플리케이션을 종료합니다.

   

• 방화벽에서 TCP 포트 139 및 445 차단

  이러한 포트는 영향을 받는 구성 요소와의 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 해당 방화벽 뒤에 있는 시스템이 이 취약성을 악용하려는 시도로부터 보호하는 데 도움이 됩니다. 다른 포트를 사용할 수 있는 공격을 방지하기 위해 인터넷에서 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TechNet 문서, TCP 및 UDP 포트 할당을 참조하세요.

  해결 방법의 영향. 여러 Windows 서비스에서 영향을 받는 포트를 사용합니다. 포트에 대한 연결을 차단하면 다양한 애플리케이션 또는 서비스가 작동하지 않을 수 있습니다. 영향을 받을 수 있는 애플리케이션 또는 서비스 중 일부는 다음과 같습니다.

  • SMB(CIFS)를 사용하는 애플리케이션
  • mailslot 또는 명명된 파이프를 사용하는 애플리케이션(SMB를 통한 RPC)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • 시스템 관리 서버
  • 라이선스 로깅 서비스

  해결 방법을 실행 취소하는 방법입니다. 방화벽에서 TCP 포트 139 및 445의 차단을 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당을 참조 하세요.

추가 제안된 작업

• 안전하지 않은 라이브러리 로드를 처리하는 타사 공급업체의 업데이트 설치

  타사 공급업체는 제품에 안전하지 않은 라이브러리 로드를 처리하는 업데이트를 릴리스할 수 있습니다. 특정 애플리케이션이 이 문제의 영향을 받는지 여부에 대한 질문이 있는 경우 고객이 공급업체에 문의하고 이러한 공급업체에서 릴리스한 보안 업데이트를 모니터링하는 것이 좋습니다.

• PC 보호

  고객이 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 자세한 내용은 Microsoft 금고ty 및 Security Center를 참조하세요.

• Microsoft 소프트웨어 업데이트 유지

  Microsoft 소프트웨어를 실행하는 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Microsoft 업데이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. Microsoft 제품에 대한 업데이트를 제공하도록 자동 업데이트를 사용하도록 설정하고 구성한 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 업데이트가 설치되어 있는지 확인해야 합니다.

기타 정보

MAPP(Microsoft Active Protections Program)

고객을 위한 보안 보호를 개선하기 위해 Microsoft는 매월 보안 업데이트 릴리스마다 주요 보안 소프트웨어 공급자에게 취약성 정보를 제공합니다. 보안 소프트웨어 공급자는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침입 방지 시스템과 같은 보안 소프트웨어 또는 디바이스를 통해 고객에게 업데이트된 보호를 제공할 수 있습니다. 보안 소프트웨어 공급자로부터 활성 보호를 사용할 수 있는지 여부를 확인하려면 MAPP(Microsoft Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 웹 사이트를 방문하세요.

Feedback

• Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.

지원

• 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
• 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
• Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

수정 내용

• V1.0(2010년 8월 23일): 공지 게시됨.
• V1.1(2010년 8월 31일): Microsoft 기술 자료 문서 2264107 대한 링크를 추가하여 해결 방법을 위한 자동화된 Microsoft Fix it 솔루션을 제공하고 WebDAV 및 원격 네트워크 공유에서 라이브러리 로드를 사용하지 않도록 설정합니다.
• V2.0(2010년 11월 9일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 Microsoft 보안 게시판 MS10-087, "Microsoft Office의 취약성으로 원격 코드 실행을 허용할 수 있음"이 추가되었습니다.
• V3.0(2010년 12월 14일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 게시판을 추가했습니다. MS10-093, "Windows Movie Maker의 취약성으로 원격 코드 실행을 허용할 수 있음". MS10-094, "Windows Media 인코더의 취약성으로 인해 원격 코드 실행이 허용됨" MS10-095, "Microsoft Windows의 취약성으로 인해 원격 코드 실행이 허용됨" MS10-096, "Windows 주소록의 취약성은 원격 코드 실행을 허용할 수 있음", MS10-097, "인터넷 커넥트온도서 등록 마법사에서 안전하지 않은 라이브러리 로드는 원격 코드 실행을 허용할 수 있습니다."
• V4.0(2011년 1월 11일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 Microsoft 보안 게시판 MS11-001 , "Windows 백업 관리자의 취약성으로 원격 코드 실행을 허용할 수 있음"이 추가되었습니다.
• V5.0(2011년 2월 8일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 Microsoft 보안 게시판 MS11-003, "Internet Explorer 누적 보안 업데이트"가 추가되었습니다.
• V6.0(2011년 3월 8일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 게시판을 추가했습니다. MS11-015, "Windows Media의 취약성으로 원격 코드 실행을 허용할 수 있음". MS11-016, "Microsoft Groove의 취약성은 원격 코드 실행을 허용할 수 있음", MS11-017, "원격 데스크톱 클라이언트의 취약성은 원격 코드 실행을 허용할 수 있습니다."
• V7.0(2011년 4월 12일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS11-023, "Microsoft Office의 취약성은 원격 코드 실행을 허용할 수 있음;" 및 MS11-025, "MFC(Microsoft Foundation Class) 라이브러리의 취약성으로 원격 코드 실행을 허용할 수 있습니다."
• V8.0(2011년 7월 12일): Microsoft 기술 자료 문서 2533623 업데이트 및 Microsoft 보안 게시판 MS11-055의 업데이트인 "Microsoft Visio의 취약성으로 원격 코드 실행을 허용할 수 있음"이 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 추가되었습니다. Microsoft 기술 자료 문서의 업데이트는 개발자가 외부 라이브러리를 올바로 안전하게 로드할 수 있도록 Windows의 API(애플리케이션 프로그래밍 인터페이스) 기능을 구현하는 2533623.
• V9.0(2011년 8월 9일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 Microsoft 보안 게시판 MS11-059, "데이터 액세스 구성 요소의 취약성으로 원격 코드 실행을 허용할 수 있음"이 추가되었습니다.
• V10.0(2011년 9월 13일): 안전하지 않은 라이브러리 로드와 관련된 업데이트 MS11-071, "Windows 구성 요소의 취약성으로 원격 코드 실행을 허용할 수 있음", MS11-073, "Microsoft Office의 취약성이 원격 코드 실행을 허용할 수 있음" 섹션에 Microsoft 보안 공지를 추가했습니다.
• V11.0(2011년 10월 11일): 안전하지 않은 라이브러리 로드와 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS11-075, "Microsoft Active Accessibility의 취약성으로 원격 코드 실행을 허용할 수 있음;" 및 MS11-076, "Windows Media Center의 취약성으로 원격 코드 실행을 허용할 수 있음."
• V12.0(2011년 11월 8일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS11-085, "Windows 메일 및 Windows 모임 공간의 취약성으로 원격 코드 실행을 허용할 수 있습니다."
• V13.0(2011년 12월 13일): 안전하지 않은 라이브러리 로드와 관련된 업데이트 MS11-099, "Internet Explorer에 대한 누적 보안 업데이트;" 및 MS11-094, "Microsoft PowerPoint의 취약성으로 원격 코드 실행을 허용할 수 있음"이라는 Microsoft 보안 게시판이 추가되었습니다.
• V14.0(2012년 2월 14일): 안전하지 않은 라이브러리 로드와 관련된 업데이트 Microsoft 보안 게시판을 추가했습니다. MS12-012, "색의 취약성 제어판 원격 코드 실행을 허용할 수 있음;" 및 MS12-014, "Indeo Codec의 취약성은 원격 코드 실행을 허용할 수 있습니다."
• V15.0(2012년 3월 13일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS12-022, "식 디자인의 취약성은 원격 코드 실행을 허용할 수 있습니다."
• V16.0(2012년 6월 12일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS12-039, "Lync의 취약성으로 원격 코드 실행을 허용할 수 있음."
• V17.0(2012년 7월 10일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS12-046, "Visual Basic for Applications의 취약성은 원격 코드 실행을 허용할 수 있습니다."
• V18.0(2012년 11월 13일): 안전하지 않은 라이브러리 로드 섹션과 관련된 업데이트 다음 Microsoft 보안 공지를 추가했습니다. MS12-074, ".NET Framework의 취약성은 원격 코드 실행을 허용할 수 있습니다."
• V19.0(2014년 5월 13일): 안전하지 않은 라이브러리 로드와 관련된 업데이트 다음 Microsoft 보안 게시판을 추가했습니다. MS14-023, "Microsoft Office의 취약성은 원격 코드 실행을 허용할 수 있습니다."

페이지 생성 2014-05-12 18:40Z-07:00.