Microsoft 보안 권고 3097966
실수로 공개된 디지털 인증서는 스푸핑을 허용할 수 있습니다.
게시 날짜: 2015년 9월 24일 | 업데이트: 2015년 10월 13일
버전: 2.0
요약
2015년 9월 24일 Microsoft는 콘텐츠를 스푸핑하는 데 사용할 수 있는 실수로 공개된 4개의 디지털 인증서를 고객에게 알리고 인증서에 대한 사용자 모드 트러스트를 제거하기 위해 CTL(인증서 신뢰 목록)에 대한 업데이트를 제공하기 위해 이 권고를 발표했습니다. 보고된 바와 같이, 공개된 최종 엔터티 인증서는 다른 인증서를 발급하거나 다른 할 일기본 가장하는 데 사용할 수 없지만 코드에 서명하는 데 사용할 수 있습니다. 또한 각 발급 인증 기관은 4개의 인증서를 해지했습니다.
이 권고의 2015년 10월 13일 개정을 통해 Microsoft는 커널 모드 코드 서명을 배제하기 위해 인증서에 대한 신뢰 제거를 확장하기 위해 Windows에서 코드 무결성 구성 요소를 수정하는 지원되는 모든 Windows 릴리스에 대한 업데이트의 가용성을 발표합니다.
권장 사항. Microsoft Windows의 특정 릴리스에 대한 업데이트 적용에 대한 지침은 이 권고의 제안된 작업 섹션을 참조하세요. 영향을 받는 시스템을 이 문제로부터 보호하려면 2015년 9월 24일에 릴리스된 CTL 업데이트와 2015년 10월 13일에 릴리스된 Windows 업데이트가 모두 필요합니다.
알려진 문제입니다. Microsoft 기술 자료 문서 3097966 2015년 10월 13일 업데이트를 설치할 때 고객이 경험할 수 있는 현재 알려진 문제를 설명합니다. 또한 이 문서에서는 권장 솔루션을 문서화합니다.
권고 세부 정보
이 문제에 대한 자세한 내용은 다음 참조를 참조하세요.
| 참조 | ID |
|---|---|
| 기술 자료 문서 | 3097966 |
영향을 받는 소프트웨어
이 권고는 다음 운영 체제에 적용됩니다.
Windows Server Technical Preview 3이 영향을 받습니다. 이 운영 체제를 실행하는 고객은 Windows 업데이트 통해 사용할 수 있는 업데이트를 적용하는 것이 좋습니다.
[1]Windows 전화 8 및 Windows 전화 8.1 디바이스는 2015년 9월 24일 CTL 업데이트를 자동으로 받았습니다. 그러나 이러한 디바이스는 서명된 경우에도 타사 드라이버의 설치를 허용하지 않으므로 2015년 10월 13일의 보조 업데이트가 필요하지 않습니다.
[2]Windows 10 업데이트는 누적됩니다. 비보안 업데이트를 포함하는 것 외에도 지정된 달의 보안 릴리스와 함께 제공되는 모든 Windows 10 영향을 받는 취약성에 대한 모든 보안 수정 사항이 포함되어 있습니다. 업데이트는 Windows 업데이트 카탈로그를 통해 사용할 수 있습니다. 자세한 내용 및 다운로드 링크는 Microsoft 기술 자료 문서 3097617 참조하세요.
권고 FAQ
이 권고가 2015년 10월 13일에 개정된 이유는 무엇입니까?
이 권고는 2015년 10월 13일에 고객에게 Windows의 코드 무결성 구성 요소를 수정하여 커널 모드 코드 서명을 배제하기 위해 4개의 디지털 인증서에 대한 신뢰 제거를 연장하는 Windows 업데이트를 사용할 수 있음을 알리기 위해 수정되었습니다. 자세한 내용 및 다운로드 링크는 Microsoft 기술 자료 문서 3097966 참조하세요. 이 권고에 설명된 문제로부터 영향을 받는 시스템을 보호하려면 2015년 9월 24일에 릴리스된 CTL 업데이트와 2015년 10월 13일에 릴리스된 Windows 업데이트가 모두 필요합니다.
권고의 범위는 무엇입니까?
이 권고의 목적은 고객에게 Windows 및 CTL(인증서 신뢰 목록)에 대한 업데이트를 알리고 4개의 디지털 인증서에 대한 사용자 모드 신뢰 및 커널 모드 코드 서명 트러스트를 제거하고 각 발급 CA(인증 기관)가 인증서를 해지했음을 알리는 것입니다.
문제의 원인은 무엇인가요?
이 문제는 D-Link Corporation이 실수로 인증서를 게시하여 발생했습니다.
CTL 업데이트가 다른 디지털 인증서를 처리하나요?
예, 이 권고에 설명된 인증서를 해결하는 것 외에도 2015년 9월 24일에 처음 릴리스된 CTL 업데이트는 누적되며 이전 권고에 설명된 디지털 인증서를 포함합니다.
- Microsoft 보안 권고 3050995
- Microsoft 보안 권고 3046310
- Microsoft 보안 권고 2982792
- Microsoft 보안 권고 2916652
- Microsoft 보안 권고 2798897
- Microsoft 보안 권고 2728973
- Microsoft 보안 권고 2718704
- Microsoft 보안 권고 2641690
- Microsoft 보안 권고 2607712
- Microsoft 보안 권고 2524375
암호화란?
암호화는 일반 읽기 가능한 상태(일반 텍스트라고 함)와 데이터가 가려지는 상태(암호 텍스트라고 함) 간에 변환하여 정보를 보호하는 과학입니다.
모든 형태의 암호화에서 키라고 하는 값은 일반 텍스트 데이터를 암호 텍스트로 변환하는 암호화 알고리즘이라는 프로시저와 함께 사용됩니다. 가장 친숙한 유형의 암호화, 비밀 키 암호화에서 암호 텍스트는 동일한 키를 사용하여 다시 일반 텍스트로 변환됩니다. 그러나 두 번째 유형의 암호화인 공개 키 암호화에서는 암호 텍스트를 다시 일반 텍스트로 변환하는 데 다른 키가 사용됩니다.
디지털 인증서란?
공개 키 암호화에서는 프라이빗 키라고 하는 키 중 하나를 비밀로 유지해야 합니다. 공개 키라고 하는 다른 키는 전 세계와 공유될 예정입니다. 그러나 키 소유자가 키가 속한 사람을 전 세계에 알릴 수 있는 방법이 있어야 합니다. 디지털 인증서는 이 작업을 수행하는 방법을 제공합니다. 디지털 인증서는 공개 키를 소유하고 있는 사람, 사용할 수 있는 항목, 만료되는 경우 등과 함께 공개 키를 패키지하는 변조 방지 데이터 조각입니다.
인증서는 어떤 용도로 사용됩니까?
인증서는 주로 개인 또는 디바이스의 ID를 확인하거나, 서비스를 인증하거나, 파일을 암호화하는 데 사용됩니다. 일반적으로 인증서에 대해 전혀 생각할 필요가 없습니다. 그러나 인증서가 만료되었거나 잘못되었다는 메시지가 표시될 수 있습니다. 이러한 경우 메시지의 지침을 따라야 합니다.
CA(인증 기관)란?
인증 기관은 인증서를 발급하는 조직입니다. 사용자 또는 다른 인증 기관에 속하는 공개 키의 신뢰성을 설정하고 확인하며 인증서를 요청하는 개인 또는 조직의 ID를 확인합니다.
CTL(인증서 신뢰 목록)이란?
서명된 메시지의 받는 사람과 메시지 서명자 사이에 트러스트가 있어야 합니다. 이 신뢰를 설정하는 한 가지 방법은 인증서를 통해 엔터티 또는 사람이 자신이 주장하는 사람인지 확인하는 전자 문서입니다. 인증서는 다른 당사자가 신뢰하는 타사에 의해 엔터티에 발급됩니다. 따라서 서명된 메시지의 각 수신자는 서명자의 인증서 발급자를 신뢰할 수 있는지 여부를 결정합니다. CryptoAPI는 애플리케이션 개발자가 미리 정의된 신뢰할 수 있는 인증서 또는 루트 목록에 대해 인증서를 자동으로 확인하는 애플리케이션을 만들 수 있도록 하는 방법론을 구현했습니다. 신뢰할 수 있는 엔터티 목록(주체라고 함)을 CTL(인증서 신뢰 목록)이라고 합니다. 자세한 내용은 MSDN 문서인 인증서 신뢰 확인을 참조하세요.
공격자가 이러한 인증서로 무엇을 할 수 있나요?
공격자는 인증서를 사용하여 부정하게 코드에 서명할 수 있습니다.
이 문제를 해결하기 위해 Microsoft는 무엇을 하고 있나요?
이 문제는 Microsoft 제품의 문제로 인한 것은 아니지만, 그럼에도 불구하고 CTL을 업데이트하고 고객을 보호하는 데 도움이 되는 Windows 업데이트를 제공하고 있습니다. Microsoft는 계속해서 이 문제를 조사할 것이며 향후 CTL을 변경하거나 향후 업데이트를 릴리스하여 고객을 보호할 수 있습니다.
CTL 업데이트를 적용한 후 인증서가 Microsoft 신뢰할 수 없는 인증서 저장소에 있는지 확인하려면 어떻게 해야 하나요?
Windows Vista, Windows 7, Windows Server 2008의 경우 해지된 인증서의 자동 업데이트 프로그램(자세한 내용은 Microsoft 기술 자료 문서 2677070 참조)을 사용하는 Windows Server 2008 R2 시스템 및 Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 및 Windows 10 시스템의 경우 이벤트 뷰어 애플리케이션 로그를 검사 다음 값을 사용하여 항목을 입력할 수 있습니다.
- 출처: CAPI2
- 수준: 정보
- 이벤트 ID: 4112
- 설명: 2015년 9월 23일(이상) 유효 날짜로 허용되지 않는 인증서 목록 자동 업데이트에 성공했습니다.
해지된 인증서 의 자동 업데이트 관리자를 사용하지 않는 시스템의 경우 인증서 MMC 스냅인에서 다음 인증서가 신뢰할 수 없는 인증서 폴더에 추가되었는지 확인합니다 .
| MSSQLSERVER에 대한 프로토콜 속성 | **발급자** | 지문 |
|---|---|---|
| DLINK CORPORATION | Symantec Corporation | 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb |
| 알파 네트워크 | Symantec Corporation | 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b |
| KEEBOX | GoDaddy.com, LLC | 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c |
| Trendnet | GoDaddy.com, LLC | db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14 |
참고 MMC 스냅인을 사용하여 인증서를 보는 방법에 대한 자세한 내용은 MSDN 문서인 방법: MMC 스냅인을 사용하여 인증서 보기를 참조하세요.
제안된 작업
2015년 10월 13일에 릴리스된 3097966 업데이트 적용
대부분의 고객은 자동 업데이트를 사용하도록 설정했으며 3097966 업데이트가 자동으로 다운로드되고 설치되므로 어떠한 조치도 취할 필요가 없습니다. 자동 업데이트를 사용하도록 설정하지 않은 고객은 업데이트를 검사 이 업데이트를 수동으로 설치해야 합니다. 자동 업데이트 의 특정 구성 옵션에 대한 자세한 내용은 Microsoft 기술 자료 문서 3097966 참조하세요.
관리자 및 엔터프라이즈 설치 또는 3097966 업데이트를 수동으로 설치하려는 최종 사용자의 경우 고객이 업데이트 관리 소프트웨어를 사용하거나 Microsoft 업데이트 서비스를 사용하여 업데이트를 검사 업데이트를 즉시 적용하는 것이 좋습니다. 업데이트를 수동으로 적용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 3097966 참조하세요.
2015년 9월 24일에 릴리스된 CTL 업데이트 적용(아직 적용되지 않은 경우)
해지된 인증서의 자동 업데이트는 Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 및 Windows 10의 지원되는 버전과 Windows 전화 8 및 Windows 전화 8.1을 실행하는 디바이스에 포함됩니다. 이러한 운영 체제 또는 디바이스의 경우 CTL이 자동으로 업데이트되므로 고객은 어떠한 조치도 취할 필요가 없습니다.
해지된 인증서의 자동 업데이트자를 사용하는 Windows Vista, Windows 7, Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 시스템의 경우(자세한 내용은 Microsoft 기술 자료 문서 2677070 참조) 고객은 이러한 시스템이 자동으로 보호되기 때문에 어떠한 조치도 취할 필요가 없습니다.
해지된 인증서의 자동 업데이트 프로그램이 설치되지 않은 Windows Vista, Windows 7, Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 시스템의 경우 이 업데이트를 사용할 수 없습니다. 이 업데이트를 받으려면 고객은 해지된 인증서의 자동 업데이트 관리자를 설치해야 합니다(자세한 내용은 Microsoft 기술 자료 문서 2677070 참조). Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012를 실행하는 연결이 끊긴 환경의 고객은 업데이트 2813430 설치하여 이 업데이트를 받을 수 있습니다(자세한 내용은 Microsoft 기술 자료 문서 2813430 참조).
추가 제안된 작업
PC 보호
고객이 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 자세한 내용은 Microsoft 금고ty 및 Security Center를 참조하세요.
Microsoft 소프트웨어 업데이트 유지
Microsoft 소프트웨어를 실행하는 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Microsoft 업데이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. Microsoft 제품에 대한 업데이트를 제공하도록 자동 업데이트를 사용하도록 설정하고 구성한 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 업데이트가 설치되어 있는지 확인해야 합니다.
보안 업데이트 배포
보안 업데이트 배포 정보는 Microsoft 기술 자료 문서 3097966 참조하세요.
기타 정보
Feedback
- Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.
지원
- 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
- Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
부인
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
수정 내용
- V1.0(2015년 9월 24일): 권고가 게시되었습니다.
- V2.0(2015년 10월 13일): 이 권고에서 처리한 4개의 디지털 인증서에 대한 신뢰 제거를 확장하여 커널 모드 코드 서명을 배제하도록 Windows의 코드 무결성 구성 요소를 수정하는 업데이트를 사용할 수 있음을 고객에게 알리기 위해 권고가 수정되었습니다.
페이지 생성 2015-11-16 08:35-08:00.