Officescan 최신 패턴 다운로드

   트렌드 마이크로의 기업용 백신제품인  Officescan의 최신패턴 다운로드 URL입니다. 항상 최신 파일이 올려져 있는 URL이 되겠습니다.

<< Officescan 8.0  최신 패턴>>

<< Officescan 10.0  최신 패턴 >>

  백신패턴 업그레이드에 실패하는 경우가  발생할 때 아래의 절차를 실행하시면  강제 업데이트됩니다.

1. 해당 버전의 패턴을 다운받아  압축해제한다.

2. 압축해제된 파일을 Officescan 프로그램 폴더로 복사한다.

3. Officescan 서비스 두개를 재 시작한다. (ntrtscan: 실시간감시, tmlisten:상태관리)

배치파일로 만들어둔다면 아래와 같이 되겠죠?

copy \\server\latest_pattern\*.* “C:\Program Files\Trend Micro\OfficeScan Client\”
net stop “ntrtscan”
net stop “tmlisten”
net start “ntrtscan”
net start “tmlisten”

ocs에서 파일 전송이 되지 않을 때

  OCS 에선 대개 파일전송 자체를 막지 않습니다. 바이러스전파의 위험을 막기위해 필터링에 의해 실행가능한 파일들에 대한 전송을 막는 경우는 많습니다..  파일이 일반적인 데이터 파일이라는 가정하에 막힌다면 세가지 가능성이 있습니다.

 

1. 방화벽의 Rule 이나 스위치의 ACL에서 막힌다.  (파일전송포트: TCP 6891~ 6901 사용)

2. PC방화벽에서 막힌다.

3. 외부에 파일전송을 시도했다. (사내메신저로 쓰는 경우 이렇게 설정된 경우가 많죠)

 

  같은 네트웍 대역이라도 구간에 따라서 막힐 가능성이 전혀 없지 않습니다.  ^^

오늘 아침에도 비슷한 요청이 왔는데 확인해보니  PC방화벽에서 막힌 사례가 있었네요.

지난주까지 잘 전송이 되지 않았는데 오늘부터 갑자기 안되었다고 해서 확인했었습니다.

체크해주고 나서 바로 전송이 성공했어요..

사용하다 보면 종종 PC방화벽 설정이 풀리는 (?) 경우가 있습니다.  참고하세요

 

ocs_transfer_firewall01

 

참고로 OCS에서 사용하는 포트를 정리한   Microsoft 문서를 링크합니다. 참고하세요

http://technet.microsoft.com/ko-kr/library/dd441361(office.13).aspx

ISA VPN 에 연결을 위해 방화벽에서 열어야할 포트

  Microsoft에서 제공되는 VPN서버인 ISA서버를 운영하는 기업의 경우  외부에 나간 클라이언트로부터  접속이 잘 안된다는 연락을 받는 경우가 있습니다. IPsec방식의 vpn을 사용하는 것이 아니라  PPTP 또는 L2TP방식의 VPN터널을 사용하는  특성상  접속이 안되는 환경이 있을 수 있습니다.  

 vpn 접속이 안될 경우  아래의 정보를 이용하여 해당 네트웍의 관리자에게  포트 혹슨 서비스오픈을 요청해주시면 되겠습니다.    꼭 MS ISA VPN이 아니라도 PPTP 방식이나 L2TP방식의 vpn 연결방식을 쓴다면 마찬가지라고 생각이 됩니다.

 ISA Server  VPN에서 사용되어지는 포트 정보입니다. (MS에서 지정되어 사용되는 포트입니다.)


PPTP ( EL_VPN1)

TCP 1723 : PPTP 터널 유지 트래픽을 허용하기 위해
라우터에서 Protocol ID 47 : PPTP 터널 데이터를 허용하기 위해

L2TP over IPSec (EL_VPN_2 )

UDP 500 : IKE(인터넷 키 교환)를 허용하기 위해
UDP 5500 : IPSEC NAT
을 허용하기 위해

UDP 1701 : L2TP
트래픽을 허용하기 위해 

Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고

  krcert에서 보안공지가 뜬 내역입니다. 요즘 자바런타임(JRE)을 사용하는 경우가 늘어나고 있습니다. 서버에서도 많이 쓰이고 있는 것이 현실이구요.   윈도우보안패치 말고도 이런 어플리케이션 취약점을 통해 시스템이 해킹되는 사례가 늘어나고있어서  사용자들의 주의가 요구되고 있습니다.  윈도우보안패치만 하면 안전하다고 생각하던 시대는 지난 느낌이 듭니다. ㅠㅠ   

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/

▶ 개요
   o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
      Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
      Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]

   o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서
      악의적인 Java 파일(JAR)을 실행할 수 있음 [2]
   o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
   o 관련취약점 :
     – Java Deployment Toolkit 취약점 (CVE-2010-0886)
     – New Java Plug-in 취약점 (CVE-2010-0887)

▶ 해당 시스템
   o 영향 받는 소프트웨어 [4]
     – Java SE JDK/JRE 6 Update 10 ~ Update 19
     – Java for Business JDK/JRE 6 Update 10 ~ Update 19
       ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
           Java 제품에서 영향을 받음

▶ 해결 방안
   o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
     ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→”자동 업데이트 확인” 설정 [7]

    <<  자바업데이트 사이트 >>
 
▶ 용어 정리

   o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
      언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
   o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
      Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
   o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
   o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
   o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
      가능한 파일 포맷

▶ 문의처
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

▶ 참조 사이트
[1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] http://www.kb.cert.org/vuls/id/886582
[3] http://www.java.com/ko/
[4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
[5] http://java.sun.com/javase/6/6u10faq.jsp#DT
[6] http://blogs.zdnet.com/security/?p=6161
[7] http://www.java.com/ko/download/help/java_update.xml

제로보드XE (공개웹게시판) 보안 업데이트 권고

  krcert에서 보안공지가 뜬 내역입니다. 제로보드XE로 홈페이지를 구성하여 서비스하는 사이트가 많죠…많은 사람이 쓰다보니  공격대상이 되기 쉽습니다. 이렇게 많이 쓰이는 공개웹게시판에서 발견된 취약점을  보완하지 않으면  해커의 공격에 희생양이 되는 것은 시간 문제라고 할 수 있겠죠?  제로보드XE를 사용하시는 사이트의 관리자님들은  빠른시간내에  취약점을  제거하시기 바랍니다.

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/


▶ 개요
  – 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 XE에 대한 XSS 및 CSRF 관련 보안 취약점이
     발견됨[1].
  – 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및
     조속한 패치가 필요함

▶ 영향
  – 원격의 사용자가 제로보드 XE 관리자 권한 획득가능
  – 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며,
     이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음

▶ 해당시스템
  – 제로보드 XE 1.4.0.10 이하 버전

▶ 해결방안
  – 업데이트된 파일만 적용하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.changed.tgz 를 다운로드
       받아 압축을 해제하여 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의
      “./config” 디렉토리에 설치
    * communication.controller.php 파일은 운영 중인 XE의 “./modules/communication”
       디렉토리에 설치

  – 업데이트가 적용된 상위 버젼으로 업그레이드하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.zip 파일을 다운로드
       받아 기존에 XE를 운영중인 디렉토리에 설치
     ※ 처음 사용하는 사용자일 경우, “Xpress Engine 사용자 안내서”[3]를 참고하여 설치할
         것을 권고

▶ 사용자 주의사항
   – 사용자들은 제로보드 XE의 공식 공지사항[2]을 주기적으로 확인하여 신규 취약점에 대한
      정보를 숙지하고 이에 따른 조치를 취해야함

▶ 용어정리
   – 제로보드(ZeroBoard) XE: PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크
   – XSS(Cross Site Scripting) 취약점 : 웹사이트 관리자가 아닌 이가 웹 페이지에 클라이언트
      사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점
   – CSRF(Cross-Site Request Forgery) 취약점 : 취약한 웹페이지를 이용하여 권한을 도용하는
      가짜 요청문을 클라이언트의 웹브라우저상에서 실행되도록 유도하는 취약점
   – PHP: 동적인 웹사이트를 위한 서버 측 스크립트 언어

▶ 기타 문의사항
   – 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
      [1] http://www.xpressengine.com/18838863
      [2] http://www.xpressengine.com/notice

[긴급]자바 제로데이 취약점 이용한 악성코드 주의!!!

원문참조: http://www.boannews.com/media/view.asp?idx=20439&kind=0 

  썬마이크로시스템즈(이하 썬)의 자바 런타임 환경(JRE)에서 원격코드를 실행하는 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 공격자는 이 취약점을 이용해 악의적인 웹 페이지를 구축하고 방문자가 방문하도록 유도해 공유된 네트워크에 위치한 악의적인 파일을 실행시킬 수 있는 것으로 확인됐다.

  ‘Java Web Start (JWS)’는 자바 개발자들이 ‘Java Networking Launching Protocol(*.jnlp)’ 파일에 URL을 이용하여 응용 프로그램을 실행하고 설치할 수 있는 방법을 제공한다. 썬 사는 ‘자바 6 업데이트 10 버전(Java 6 Update 10)’ 이후로 개발자들이 최종 사용자에게 응용 프로그램을 배포하기 쉽도록 Java Deployment Toolkit(JDT)’이라 불리는 NPAPI 플러그인과 ActiveX 컨트롤을 배포했다. 이 툴 킷은 기본적으로 JRE에 의해 설치되며 스크립팅하기 안전한 것으로 표시돼있다.  흔히 ‘자바 런타임’이라고도 알려져 있는 JRE는 자바 응용프로그램 개발도구인 JDK의 일부이다. JRE는 자바 응용프로그램이 실행되는데 필요한 최소한의 요건을 제공하며, JVM과, 핵심적인 클래스들, 그리고 각종 지원 파일들로 구성된다. 그러나 보안업계에 따르면, 썬 사의 JDT 커맨드 라인 파라미터에 대한 적절한 검증을 수행하지 않아 임의의 명령 코드를 실행하는 것이 가능한 취약점이 존재하는 것으로 전해지고 있다. 외국에서는 이미 이 취약점을 이용해 악성코드를 전파하는 사례가 외국 유명 가사사이트에서 발견됐으며, 게다가 이 취약점을 이용한 악성코드 유포 키트도 발견돼 국내 유입도 오래 걸리지 않을 것이라는 것이 전문가들의 예상이다.

사용자 삽입 이미지

▲해당 취약점을 이용해 배포한 악성코드로 계산기 프로그램을 실행시킨 화면 ⓒ최상명


  최상명 하우리 사전대응팀 연구원은 “아직 썬 사에서 이 취약점에 대한 보안업데이트를 하지 않은 상태이기 때문에, 이 취약점을 이용한 악성코드가 국내에 유입될 경우 급속도로 전파될 우려가 있어 사용자들의 각별한 주의가 필요하다”며 “의심스러운 사이트의 방문을 자제하고 백신 업데이트를 통해 최신 상태를 유지하는 것이 좋다”고 조언했다. 아울러 그는 “해당 취약점 악성코드 설치를 막기 위한 임시방편으로, 인터넷 익스플로러 사용자는 JDT 액티브엑스 컨트롤의 CLSID(클래스 식별자)인 ‘CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA’에 대해 ‘킬비트(kill bit)’ 설정을 해 익스플로러에서 해당 액티브엑스 컨트롤이 실행되지 않도록 할 수 있다”고 설명했다. 이에 대한 보다 자세한 내용은 Microsoft에서 제공하는 아래 ‘인터넷 익스플로러에서 ActiveX 컨트롤 실행을 중지하는 방법(http://support.microsoft.com/kb/240797)’을 참고하면 된다.
 
 

PDF파일 오픈시 임의코드 실행 주의가 필요합니다.

▶ PDF 파일 오픈시  보안위협

   최근 Adobe Reader, Foxit Reader 등에서 PDF 파일을 열어볼 경우 임의의 코드를 실행시킬 수 있는 보안위협이 발견되었습니다.   이것은  PDF Reader 프로그램의 정상적인 기능을 이용한 것입니다.   향후 악용될 소지가 많으므로 사용자의 주의가 필요합니다.
 
▶ 정상적인 기능이 왜 보안위협이 되는가?
    PDF 문서 규격에서 정의하는 기능을 이용해 특정 실행코드가 실행되는 PDF 문서를 작성할 수 있음. 이 문서를 열어볼 경우 경고창이 뜨며, 확인(OK) 버튼을 클릭할 경우 해당 실행코드가 실행됩니다.   사회적인 이슈가되는 내용의 문서에 악성코드를 포함시켜 이메일이나 웹를 통해 배포할 가능성이 많아 보입니다.
    – PDF Reader의 /Launch /Action 명령어 등을 사용하였으며, Javascript 기능을 해제한 후에도 동작함
    – 경고창에 확인 버튼을 클릭하도록 유도하는 문구를 삽입할 수 있음
 

▶  연관되는 프로그램
  Adobe Reader, Foxit Reader 등 대부분의 PDF Reader 프로그램
    – Adobe Reader의 경우 실행코드 실행 전 경고창이 뜸
    – Foxit Reader의 경우 경고창 없이 실행코드가 실행되었으나, 최근 Foxit Reader 3.2.1.0401로 업데이트된 후에는 경고창이 뜸
    – 기타 PDF Reader들도 해당될 수 있음
 

▶ 사용자 주의사항
 1. 출처가 불분명한 PDF파일은 열어보지 말고 경고창이 뜰경우 주의하세요
  출처가 불분명한 PDF 파일의 경우 열어보는 것을 자제하고, 경고창이 뜰 경우 경고 내용을 파악하는 등의 사용자 주의 필요합니다.  이 보안위협은 PDF의 정상적인 기능을 이용하는 것이므로 최신 업데이트를 설치했다고 해서 사라지는 위협은 아니기 때문입니다.  
 2.  사용하는 PDF Reader의 최신 보안업데이트 설치
  PDF Reader 버전에 따라 경고창없이 바로 실행코드가 실행될 수 있으므로  최신으로 업데이트가 필요합니다.

화면캡춰가 포함된 영문문서: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
아래는 위 영문문서에서 링크시켜둔 PDF오픈시 실행파일이 어떻게 실행되는지 보여주는 동영상입니다.

SSTP vpn연결이 가능하도록 TMG 서버설정하기

  기존에 ISA Server를 이용해서 vpn을 사용하고 있는데요..   외부에 있는 pc나 노트북의 연결을 위해선 L2TP와 PPTP밖에 지원하지 않기때문에  실제로 연결되지않는 곳이 많아서 어려움이 있었습니다. ISA 서버의 업그레이드 버전인  TMG서버에선 SSTP VPN연결을 지원한다고 합니다. 인터넷을 뒤지다보니 관련 문서가 있어서 소개합니다.
  아래 문서에선 TMG beta3를 기준으로  설명이 되어있습니다.  http://www.isaserver.org 에 있던 영문문서입니다. 한글이면 좋겠지만요..  제가 직접 해보면 다시 이 글을 업데이트 하도록 하겠습니다.

<< part 1 >>
<< part 2 >>
<< part 3 >>

MS VBScript 원격코드 실행 취약점 보안공지입니다.

MS VBScript 원격코드 실행 취약점이란
    Internet Explorer
사용할 VBScript 윈도우 도움말 파일과 상호 동작하는 방식의 문제로  인해 임의의 원격코드가 실행될 있는 취약점이 공개되었습니다.  공격자는 스팸 메일이나 메신저의 링크를 통해 특수하게 조작된 콘텐트로 구성된 악의적인  사이트에 방문 F1키를 누르도록 사용자를 유도하여, 해당 사용자의 권한으로 원격코드 실행이 가능합니다.    대화상자가 팝업되었을 F1키를 누르지 않는 경우, 공격이 성공하지 않습니다.
 
모든 버전의 Internet Explorer 대상으로 공격이 가능한 취약점이 공개되었으므로 인터넷 사용자의 주의가 요구됩니다.

 

   o 영향 받는 소프트웨어     – Microsoft Windows 2000 SP4 – Windows XP – Windows Server 2003
   o
영향 받지 않는는 소프트웨어     – Windows Vista, Windows Server 2008,  Windows 7

 

 임시해결방안
  –
현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음
  –
사이트의 대화상자가 팝업된 경우 F1키를 누르지 말아야
    
대화상자가 무한히 반복적으로 팝업되면서 F1키를 누르도록 유도할 경우에는 로그오프 또는
        
작업 관리자에서 IE 종료
  –  
윈도우 도움말 시스템의 접근을 제한
  –
명령 프롬프트에서 다음 명령을 실행

      echo Y | cacls “%windir%winhlp32.exe” /E /P everyone:N

   – 해당 명령 실행 윈도우 도움말 시스템의 사용이 불가능하며 복구를 위해서는 다음 명령 실행

      echo Y | cacls “%windir%winhlp32.exe” /E /R everyone     
     

   – 인터넷 로컬 인트라넷 영역에서 ActiveX 컨트롤이나 Active 스크립팅의 사용을 제한
      (Active
스크립팅을 사용하는 일부 사이트는 정상적으로 동작하지 않을 있으므로 주의)
     –
해당 영역의 보안 수준을높음으로 변경
      
도구 메뉴인터넷 옵션보안 보안설정을 변경할 영역 선택보안 수준을높음
          
으로 변경
     –
해당 영역의 Active 스크립팅 기능만 제한
      
도구 메뉴인터넷 옵션보안 보안설정을 변경할 영역 선택사용자 지정 수준
          
버튼스크립팅 섹션의 Active 스크립팅을사용 안함또는확인으로 설정