2010-02 MS 보안패치 배포하다

 2월 Microsoft 보안패치를 정리해보았습니다.  최근들어 가장 많은 보안패치가 나온 것 같습니다.  무려 13개씩이나 발표되었구요.. 그중에 긴급이 5개, 중요가 8개 되겠습니다. 또한  13개 모두가 리부팅이 필요합니다..     

 이번달 보안패치중   블루스크린 (BSOD) 현상 발생한 사례가 있어서 주의가 요구됩니다.
해당 패치: MS10-015  KB 977165
BSOD원인:  Alureon 이란 악성코드에 감염된 PC에서  MS10-015 패치를 설치하는 경우 발생
해결: MS10-015 제거하면 다시 정상으로 복구

MS10-015 문제에 대한 링크들..  처리의 보안블로그 , TrendMcro블로그 , Symantec블로그

2월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS10-006

SMB 클라이언트의 취약점으로 인한 원격 코드 실행 문제점(978251)

  이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된 SMB 응답을 클라이언트가 시작한 SMB 요청에 보낼 경우 원격 코드 실행이 발생할 수 있습니다. 이 취약점을 악용하려면 공격자는 사용자가 악의적인 SMB 서버에 SMB 연결을 시작하도록 유도해야 합니다.

긴급, 리부팅 필요
원격 코드 실행

Windows *

MS10-007

Windows 셸 처리기의 취약점으로 인한 원격 코드 실행 문제점(975713)

이 보안 업데이트는 Microsoft Windows 2000, Windows XP 및 Windows Server 2003에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 다른 Windows 버전은 이 보안 업데이트의 영향을 받지 않습니다. 이 취약점으로 인해 웹 브라우저 같은 응용 프로그램이 특수하게 조작된 데이터를 ShellExecute API 함수로 Windows 셸 처리기를 통해 전달할 경우 원격 코드 실행이 발생할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행


MS Windows,*

MS10-008

ActiveX 킬(Kill) 비트 누적 보안 업데이트(978262)

이 보안 업데이트는 Microsoft 소프트웨어에서 발견되어 비공개적으로 보고된 취약점을 해결합니다. 이 보안패치는  윈2000,윈도우XP엔  긴급,   Vista /Windows 7 에는 중요,   Windows Server 2003에는  보통, Windows Server 2008 및 Windows Server 2008 R2에 대해서는  낮음의  등급을 갖습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows, *

MS10-009

Windows TCP/IP의 취약점으로 인한 원격 코드 실행 문제점(974145)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 4건을 해결합니다. 가장 위험한 취약점으로 인해 IPv6를 사용하는 컴퓨터로 특수하게 조작된 패킷이 전송될 경우 원격 코드 실행이 허용될 수 있습니다. 공격자는 특수하게 조작된 ICMPv6 패킷을 만들어 IPv6를 사용하는 시스템에 보내는 방법으로 취약점 악용을 시도할 수 있습니다. 이 취약점은 공격자가 링크에 있는 경우에만 악용될 수 있습니다

긴급, 리부팅 필요
원격 코드 실행

MS Windows, *

MS10-013

Microsoft DirectShow의 취약점으로 인한 원격 코드 실행 문제점(977935)
KB977914 , KB975560, KB975560

이 보안 업데이트는 비공개적으로 보고된 Microsoft DirectShow의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 AVI 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다

긴급, 리부팅 필요
원격 코드 실행

MS Office *

MS10-003

Microsoft Office(MSO)의 취약점으로 인한 원격 코드 실행 문제점(978214)
OfficeXP SP3 –  KB977896

이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 Office 파일을 열면 이 Microsoft Office 취약점을 통해 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다

중요, 리부팅 필요
원격코드 실행

MS Office,*

MS10-004

Microsoft Office PowerPoint의 취약점으로 인한 원격 코드 실행 문제점(975416)
PowerpointXP – KB973143,
Powerpoint2003 –  KB976881

이 보안 업데이트는 Microsoft Office PowerPoint에서 발견되어 비공개적으로 보고된 6건의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 PowerPoint 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다

중요, 리부팅 필요
원격코드 실행

MS Office,*

MS10-010

Windows Server 2008 Hyper-V의 취약점으로 인한 서비스 거부 문제점(977894)

이 보안 업데이트는 Windows Server 2008 Hyper-V 및 Windows Server 2008 R2 Hyper-V에서 발견되어 비공개적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 Hyper-V 서버에서 호스팅하는 게스트 가상 컴퓨터 중 하나의 인증된 사용자가 잘못된 형식의 컴퓨터 명령 시퀀스를 실행할 경우 서비스 거부가 발생할 수 있습니다. 공격자가 이 취약점을 악용하려면 유효한 로그온 자격 증명을 가지고 게스트 가상 컴퓨터에 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다

중요, 리부팅 필요
서비스 거부

MS Windows,*

MS10-011

Windows Client/Server Run-time Subsystem의 취약점으로 인한 권한 상승 문제점(978037)

이 보안 업데이트는 Microsoft Windows 2000, Windows XP 및 Windows Server 2003의 CSRSS(Microsoft Windows Client/Server Run-time Subsystem)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 다른 버전의 Windows는 영향을 받지 않습니다. 이 취약점으로 인해 공격자가 시스템에 로그온하여 공격자가 로그아웃한 후에도 계속 실행되도록 특수하게 조작된 응용 프로그램을 시작할 경우 권한 상승이 발생할 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명 사용자는 이 취약점을 악용할 수 없습니다

중요, 리부팅 필요
권한상승

MS Windows, *

MS10-012

SMB 서버의 취약점으로 인한 원격 코드 실행 문제점(971468)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 중 가장 심각한 취약점으로 인해 공격자가 특수하게 조작된 SMB 패킷을 만들어 영향을 받는 시스템에 보내는 방법으로 원격 코드 실행이 발생할 수 있습니다. 방화벽 구성 모범 사례와 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 이 취약점을 악용하려는 공격으로부터 네트워크를 보호할 수 있습니다

중요, 리부팅 불필요
서비스 거부

MS Windows, *

MS10-014

Kerberos의 취약점으로 인한 서비스 거부 문제점(977290)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 신뢰할 수 있는 비-Windows Kerberos 영역의 인증된 사용자로부터 특수하게 조작된 티켓 갱신 요청이 Windows Kerberos 도메인으로 보내질 경우 서비스 거부가 허용될 수 있습니다. 서비스 거부는 도메인 컨트롤러가 다시 시작될 때까지 지속될 수 있습니다

중요, 리부팅 필요
서비스거부

MS Windows,

MS10-015

Windows 커널의 취약점으로 인한 권한 상승 문제점(977165)

이 보안 업데이트는 Microsoft Windows의 공개된 취약점 1건과 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 시스템에 로그온한 후 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승을 허용할 수 있습니다. 공격자가 이러한 취약점을 악용하려면 유효한 로그온 자격 증명을 사용하여 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다

중요, 리부팅 필요
블루스크린 발생보고
서비스 거부

MS Windows,

MS10-005

Microsoft Paint의 취약점으로 인한 원격 코드 실행 문제점(978706)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Paint의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 Microsoft Paint를 사용하여 특수하게 조작된 JPEG 이미지 파일을 볼 경우 원격 코드 실행이 발생할 수 있습니다

보통, 리부팅 필요
원격코드 실행

MS Windows,

2010-01 MS 보안패치 정리

 2010년 1월 Microsoft 보안패치를 정리해보았습니다.  최근들어 가장 적은 보안패치가 나온 것 같습니다.  두개 발표되었구요.. 그중에 긴급이 2개이며  모두 리부팅이 필요합니다..     

1월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS10-001

Embedded OpenType 글꼴 엔진의 취약점으로 인한 원격 코드 실행 문제점 (972270)

  이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 Microsoft Internet Explorer, Microsoft Office PowerPoint 또는 Microsoft Office Word와 같이 EOT(Embedded OpenType) 글꼴을 렌더링할 수 있는 클라이언트 응용 프로그램에서 특수하게 조작된 EOT 글꼴로 렌더링된 콘텐츠를 본 경우 원격 코드 실행이 발생할 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다

긴급, 리부팅 필요
원격 코드 실행

Windows

MS10-002

Internet Explorer 누적 보안 업데이트 (978207)

이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 7건과 공개된 취약점 1건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행


MS Windows,

2009-12 MS 보안패치 발표 내역입니다.

12월 Microsoft 보안패치가 발표되었습니다.  이번달에도 역시 꽤 늦게 올리고 있습니다.   지난달과 마찬가지로  6개의 보안패치가  발표되었구요..  요즘엔 이정도면  패치가 적게 발표된 축에 속합니다.    역시 지난달과 마찬가지로  긴급이 3개, 중요가 3개 이며  6개 모두가 리부팅이 필요합니다..      . 

12월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-071

IAS(Internet Authentication Service)의 취약점으로 인한 원격 코드 실행 문제점 (974318)

  이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이러한 취약점으로 인해 IAS(Internet Authentication Service) 서버에서 받은 메시지가 메모리에 올바르지 않게 복사될 경우 PEAP 인증 시도를 처리할 때 원격 코드 실행이 발생할 수 있습니다. 이러한 취약점 두 가지 중 하나를 성공적으로 악용한 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. IAS(Internet Authentication Service)를 사용하는 서버에서 PEAP 및 MS-CHAP v2 인증을 사용하는 경우에만 이 취약점의 영향을 받습니다.

    IAS ( Internet Authentication Service ) : Microsoft 구현한 Remote Authentication Dial-in User Service (RADIUS) 서버 프락시로서, 무선 VPN 연결을 비롯한 다양한 네트워크 액세스 권한을 위한 중앙화된 연결 인증, 권한 부여 계정 관리를 수행 기능을 제공하는 윈도우 서버의 구성 요소
   
PEAP (Protected Extensible Authentication Protocol ) : 무선 컴퓨터 같은 PEAP 클라이언트와 IAS 또는 RADIUS 서버 같은 PEAP 인증자 간에 암호화된 채널을 생성
   
MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2)
        :
패스워드의 전송 없이 상호 인증을 하기 위한 challenge-response 프로토콜< /SPAN>

긴급, 리부팅 필요
원격 코드 실행

MS Windows

MS09-074

Microsoft Office Project의 취약점으로 인한 원격 코드 실행 문제점 (967183)
 
MS Project 2000 SP1 (KB961083)
MS Project 2002 SP1 (KB961079)
MS Project 2003 SP3  ( KB961082)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Office Project의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 Project 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

Microsoft Office 2002,  2003  (2007은 영향무)

MS09-072

Internet Explorer 누적 보안 업데이트 (976325)

이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 4건과 공개된 취약점 1건을 해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. Microsoft ATL(액티브 템플릿 라이브러리) 헤더로 작성된 ActiveX 컨트롤이 원격 코드 실행을 허용할 수 있습니다. 이 취약점은 Microsoft 보안 권고 973882 및 Microsoft 보안 공지 MS09-035에 설명되어 있습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-069

로컬 보안 기관 하위 시스템 서비스의 취약점으로 인한 서비스 거부 문제 (974392)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 원격에서 인증된 공격자가 IPSec(인터넷 프로토콜 보안)을 통해 통신하는 동안 특수하게 조작된 ISAKMP 메시지를 영향을 받는 시스템의 로컬 보안 기관 하위 시스템 서비스(LSASS)에 보내는 경우 서비스 거부가 허용될 수 있습니다

    LSASS (Local Security Subsystem Authority Service ) : 로컬 보안, 도메인 인증 Active Directory 프로세스를 관리하기 위한 인터페이스를 제공하는 서비스
   
IPsec(Internet Protocol security) : 암호화 보안 서비스를 사용하여 IP(Internet Protocol)  네트워크를 통한 비공개 보안 통신을 가능하게 하는 공개 표준 프레임워크
   
ISAKMP (Internet Security Association and Key Management Protocol ) : 독립적인 교환 프로토콜, 암호화/무결성 알고리즘, 인증 방법을 협상하기 위한 프레임워크   

중요, 리부팅 필요
서비스 거부

MS Windows,

MS09-070

Active Directory Federation Services의 취약점으로 인한 원격 코드 실행 문제점 (971726)

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 중 가장 심각한 취약점은 공격자가 ADFS 사용 웹 서버로 특수하게 조작된 HTTP 요청을 전송할 경우 원격 코드 실행을 허용할 수 있습니다. 공격자가 이러한 취약점을 악용하려면 인증을 받은 사용자여야 합니다

  ADFS (Active Directory Federation Services ) : Windows Windows 환경을 비롯한 여러 플랫폼에서 작동할 있는 뛰어난 확장성, 인터넷 확장성 보안을 갖춘 브라우저 기반의 ID 액세스 솔루션

중요, 리부팅 필요
원격코드 실행

MS Windows

MS09-073

WordPad 및 Office 텍스트 변환기의 취약점으로 인한 원격 코드 실행 문제점 (975539)

Windows 2000,XP,2003 (KB 973904)
MS Word 2002  (KB975008)
MS Word 2003  (KB975051)
MS Works 8.5  ( KB974882)
MS Office 변환팩 (KB974882)

이 보안 업데이트는 비공개적으로 보고된 Microsoft WordPad 및 Microsoft Office 텍스트 변환기의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 WordPad 또는 Microsoft Office Word에서 특수하게 조작된 Word 97 파일을 열 경우 원격 코드 실행을 허용할 수 있습니다. 이 취약점을 성공적으로 악용한 경우 공격자는 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 덜 받습니다.

중요, 리부팅 필요
원격코드 실행


MS Office

IE 6, 7 사용시 원격코드 실행될 수있는 제로데이 취약점 발견

▶ 취약점 내용
MS Internet Explorer 6, 7 을  사용하는 PC
에서 특수하게 조작된 웹페이지에 방문할 경우 CSS/Style object 처리하는 과정에서  원격코드가 실행되는 취약점이 발견되었습니다.

▶ 대응책
 1) 신뢰할 수 없는 사이트에 방문자제:  
   
현재 해당 취약점에 대한 보안업데이트는 발표되지 않았기 때문에  신뢰할만한 사이트만 가세요..^^
 2) IE 8 로의 업그레이드 
 3) 백신의 패턴을 최신으로 유지
 4) IE 6,7 설정에 의해 임시적인 보호 가능
     –> 보안
업데이트가 발표되기 전까지 JavaScript 사용하지 않도록 설정 
  JavaScript 사용하지 않도록 설정할 경우 사이트가 정상적으로 동작하지 않을 있습니다.
      Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준
      “Active 스크립팅 사용 안함으로 설정

▶ 참조 사이트 
  o 한글 : http://www.krcert.or.kr 
           http://www.boannews.com/media/view.asp?idx=18645&kind=0
  o 영문 : http://www.securityfocus.com/bid/37085/info
  o 영문 : http://isc.sans.org/diary.html?storyid=7624

2009-11 보안패치가 발표되었습니다.

11월 Microsoft 보안패치가 발표되었습니다.  사실 12일에 나왔는데  올리는게 늦었습니다.   최근들어 가장 적은 보안패치가 나온 것 같습니다.  6개의 보안패치가  발표되었구요.. 그중에 긴급이 3개, 중요가 3개 되겠습니다. 또한  6개 모두가 리부팅이 필요합니다..      이번달에 나온 패치중에서  그래픽 드라이버와의 충돌현상이 발생된 것이 한건 있습니다. 

11월 보안패치중 주의가 필요한 사항 (에러 보고되었음)
1.
증상 : MS 11 정기 보안 패치 적용 일부 PC 정상적인 동작을 하지 않는 현상 발생

2. 원인 : 델이 지난해 3분기 출시한 PC 탑재한 ATI 드라이브(그래픽 카드) 충돌로 인한 현상

3. 패치 : ‘윈도 커널 모드 드라이버의 취약점으로 인해 발생한 원격 코드

            실행 문제점(MS09-065)’ 해결하기 위해 제공한 보안패치KB969947

3. 대응 방안 : KB969947보안 패치 적용 제외

11월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-063

Web Services on Devices API의 취약점으로 인한 원격 코드 실행 문제점 (973565)

  이 보안 업데이트는 Windows 운영 체제의 WSDAPI(Web Services on Devices 응용 프로그래밍 인터페이스)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 영향을 받는 Windows 시스템에서 특수하게 조작된 패킷을 받을 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 로컬 서브넷에 있는 공격자만 이 취약점을 악용할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행

Vista,
Windows2008 server

MS09-064

라이센스 로깅 서버의 취약점으로 인한 원격 코드 실행 문제점 (974783)
 

이 보안 업데이트는 Microsoft Windows 2000에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 공격자가 특수하게 조작된 네트워크 메시지를 라이센스 로깅 서버를 실행하는 컴퓨터로 전송하면 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행


Windows 2000 server

MS09-065

Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (969947)

이 보안 업데이트는 Windows 커널에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 EOT(Embedded OpenType) 글꼴로 렌더링된 콘텐츠를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 웹을 통한 공격의 경우 공격자는 이 취약점 악용 시도에 사용되는 특수하게 조작된 포함 글꼴을 포함한 웹 사이트를 호스팅해야 합니다. 또한 사용자가 제공한 콘텐츠를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 공격자는 강제로 사용자가 특수하게 조작된 웹 사이트를 방문하도록 만들 수 없습니다. 대신, 공격자는 사용자가 공격자의 사이트로 이동되는 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하도록 하여 웹 사이트를 방문하도록 만들어야 합니다.

**충돌 보고됨:**주의

Dell 제품 중 지난해 3분기 출시한 ATI드라이브과의 출동현상 보고됨

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-066

Active Directory의 취약점으로 인한 서비스 거부 문제점 (973309)

이 보안 업데이트는 Active Directory 디렉터리 서비스, ADAM(Active Directory Application Mode) 및 AD LDS(Active Directory Lightweight Directory Service)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 특정 유형의 LDAP 또는 LDAPS 요청을 실행하는 동안 스택 공간을 다 써버릴 경우 이 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 이 취약점은 ADAM 또는 AD LDS를 실행하도록 구성된 도메인 컨트롤러와 시스템에만 영향을 줍니다.

중요, 리부팅 필요
서비스 거부

MS Windows,

MS09-067

Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (972652)

MS Office XP (973471)
MS Office 2003 (973475)
MS Office 2007 (973593)

이 보안 업데이트는 Microsoft Office Excel에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 사용자가 특수하게 조작된 Excel 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격 코드 실행

MS Office

MS09-068

Microsoft Office Word의 취약점으로 인한 원격 코드 실행 문제점 (976307)

MS Office XP (973444)
MS Office 2003 (973443)

이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격코드 실행


MS Office

mbsacli 로 MBSA 자동화하기

  MBSA 2.1.1 최신버전이 나왔습니다.  매월  MBSA를 이용하여  자체적인 서버 보안감사를 실시하고 있습니다.  하지만 스캐닝하는데 시간도 많이 거리고 번거롭기도 해서  일부 서버를 대상으로 샘플링으로  MBSA 스캐닝을 하고 있는 중이지요..   하지만  보안취약점 점검을  소수의 서버만 한다는 것이 마음에 걸리더군요.. 

  그래서 MBSA로 서버 감사하는것을 자동화할 방법은 없을까 찾아보게 되었습니다.  MBSA프로그램을 설치하면 함께 제공되는 mbsacli.exe를 이용해서  배치작업을 돌리는 것이 가능하더군요… 배치작업을 돌리면  스캐닝하는 서버의 수를 크게 늘릴수가 있고 작업 시간도 빨라지게 됩니다.   사실 분석하는 것보다  스캐닝하는 시간이 대부분을 차지하기 때문에  어려움이 있었습니다.  이것을   배치작업으로 특정 공유폴더에   감사결과 report파일을 업로드하게 해두도면 시간과 노력을 크게 줄일수가 있게 되는거죠.. 

▶ MBSA의 설치

1.  일단 최신 MBSA 버전을 다운로드 받습니다.
    (OS버전에 맞는 것을 다운로드합니다 영문으로… 한글버전은 존재하지 않으니까요… )
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78

2. MBSA를 설치합니다.  배치작업을 편리하게 하기위해서  설치 디렉토리를 단순하게 하는것이 좋습니다.
   예) c:\mbsa2\

▶ MBSA 리포트업로드를 위한 공유폴더 생성

1.  Report 업로드를 위한 공유폴더를 생성합니다.
   예)  \\192.168.168.15\MBSA_Report\

2. 공유권한을 설정합니다. (이때 일반 사용자들은 접근이 안되도록 해야합니다.)–> 중요
    일반 사용자가 서버의 중요한 감사결과파일을 볼수있다면  정말 곤란한 노릇이지요…

▶ MBSA 리포트업로드를 위한 배치파일 생성
1.  배치파일을 작성합니다.
=====================================================
c:
cd c:\mbsa2\
mbsacli /target 127.0.0.1 /wi > \\192.168.168.15\mbsa_report\%COMPUTERNAME%-%date%.txt
 =====================================================
-> 위 배치파일은  공유폴더에  스캐닝한 컴퓨터이름과 날짜로된  report파일을 업로드하게 해줍니다.
    변수를 잘 몰라서  %hostname%을 넣고 안되어서 고민을 많이 했었습니다.
-> /wi 옵션은 모든 보안패치를 전체적으로 점검해주는 옵션입니다.
    세부 옵션은 mbsacli /? 라고 치시면 나오지요..
-> 배치파일에서 변수입력을 어떻게 받는지 연구하시면 유용한 작업을 많이 할 수있답니다.

2. 만들어진 배치파일이 잘 작동하는지 확인후에   스케쥴 작업을 걸어줍니다.
   매월 1회씩만 하면 되겠죠?  대략 20일 경에 스캐닝을 하면 좋을 것 같습니다.
  1-2일 정도 분석해서  25일내에 감사결과를 리포트로 작성해서 제출하려면 말이죠…

3. 위 과정을 다른 서버들에서도 동일하게 반복해줍니다.

2009-10 MS 보안패치 발표 내역입니다.

 10월 Microsoft 보안패치가 발표되었습니다.  최근들어 가장 많은 보안패치가 나온 것 같습니다.  무려 12개씩이나 발표되었구요.. 그중에 긴급이 8개, 중요가 4개 되겠습니다. 또한  12개 모두가 리부팅이 필요합니다..     

10월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-050

SMBv2의 취약점으로 인한 원격 코드 실행 문제점(975517)

  이 보안 업데이트는 SMBv2(Server Message Block Version 2)에서 발견되어 공개적으로 보고된 취약점 1건과 비공개적으로 보고된 취약점 2건을 해결합니다. 가장 위험한 취약점은 공격자가 서버 서비스를 실행하는 컴퓨터로 특수하게 조작된 SMB 패킷을 전송할 경우 원격 코드 실행을 허용할 수 있습니다.  인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

긴급, 리부팅 필요
원격 코드 실행

Vista,
Windows2008 server

MS09-051

Windows Media Runtime의 취약점으로 인한 원격 코드 실행 문제점(975682)
  * DirectShow WMA음성코덱 – 969878
  * Windows Media 오디오 음성디코드 – 954155
  * 오디오압축관리자 – 975025

이 보안 업데이트는 Windows Media Runtime에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 미디어 파일을 열거나, 웹 사이트 또는 웹 콘텐츠를 제공하는 응용 프로그램으로부터 특수하게 조작된 스트리밍 콘텐츠를 받을 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행


MS Windows ?,

MS09-052

Windows Media Player의 취약점으로 인한 원격 코드 실행 문제점(974112)

이 보안 업데이트는 비공개적으로 보고된 Windows Windows Media Player의 취약점을 해결합니다. 이 취약점으로 인해 Windows Media Player 6.4를 사용하여 특수하게 조작된 ASF 파일을 재생할 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
(vista,server2008 X)

MS09-054

Internet Explorer 누적 보안 업데이트(974455)

이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 3건과 공개된 취약점 1건을 해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
Internet Explorer

MS09-060

Microsoft Office용 Microsoft ATL(액티브 템플릿 라이브러리) ActiveX 컨트롤의 취약점으로 인한 원격 코드 실행 문제점(973965)
  * Outlook2002 sp3- 973702
  * Outlook2003 sp3 – 973705
  * Outlook2007 sp1,sp2 – 972363
  * Visio2007 – 973709

이 보안 업데이트는 취약한 버전의 Microsoft ATL(액티브 템플릿 라이브러리)을 사용하여 컴파일된 Microsoft Office용 ActiveX 컨트롤에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 구성 요소 또는 컨트롤을 로드하는 경우 원격 코드 실행이 발생할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Office

MS09-061

Microsoft .NET 공용 언어 런타임의 취약점으로 인한 원격 코드 실행 문제점(974378)
  * .NET Framework 1.1 sp1- 953297
  * .NET Framework 2.0 sp1- 953300
  * .NET Framework 2.0 sp2- 974417
  * Visio2007 – 973709

이 보안 업데이트는 Microsoft .NET Framework 및 Microsoft Silverlight에서 비공개적으로 보고된 취약점 3건을 해결합니다. 사용자가 XBAP(XAML 브라우저 응용 프로그램) 또는 Silverlight 응용 프로그램을 실행할 수 있는 웹 브라우저를 사용하여 특수하게 조작된 웹 페이지를 보거나, 공격자가 특수하게 조작한 .NET 응용 프로그램을 실행하도록 사용자를 유인하는 데 성공할 경우 이 취약점으로 인해 클라이언트 시스템에서 원격 코드가 실행될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 서버에서 ASP.NET 페이지 처리를 허용하고 공격자가 해당 서버에 특수하게 조작한 ASP.NET 페이지를 성공적으로 업로드하여 실행할 경우 이 취약점으로 인해 IIS를 실행하는 서버 시스템에서 원격 코드가 실행될 수 있습니다. 이러한 경우는 웹 호스팅 시나리오에서 발생할 수 있습니다. 악의적이지 않은 Microsoft .NET 응용 프로그램, Silverlight 응용 프로그램, XBAP 및 ASP.NET 페이지는 이 취약점으로 인해 공격을 받을 위험이 없습니다.

긴급, 리부팅 필요
원격코드 실행


MS Windows, ?
(특히 IIS server)
.NET Framework,
MS Siverlight,

MS09-062

GDI+의 취약점으로 인한 원격 코드 실행 문제점(957488)
  * Windows- 958869
  * .NET Framework 1.1 sp1- 971108
  * .NET Framework 2.0 sp1- 971110
  * .NET Framework 2.0 sp2- 971111
  * Office project2002 sp1- 974811
  * Office Visio 2002 sp2- 975365
  * Office 2003 각종 viewer  sp1- 972580
  * Office 2007 각종 viewer – 972581
  * SQL server2005 sp2- 970895
  * SQL server2005 sp2 – 970892
  * Report viewer2005 – 971117
  * Report viewer2005 sp2- 971118
  * Report viewer2008 – 971119

이 보안 업데이트는 Microsoft Windows GDI+에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 사용자가 영향을 받는 소프트웨어를 사용하여 특수하게 조작된 이미지를 보거나 특수하게 조작된 콘텐츠가 포함된 웹사이트를 탐색할 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

긴급, 리부팅 필요
권한상승

MS Windows, ?
Internet Explorer,
.NET Framework,
MS Office,
MS SQL Server,
MS 개발자 도구

MS09-053

IIS(인터넷 정보 서비스) FTP 서비스의 취약점으로 인한 원격 코드 실행 문제점(975254)

이 보안 업데이트는 Microsoft IIS(인터넷 정보 서비스) 5.0, Microsoft IIS(인터넷 정보 서비스) 5.1, Microsoft IIS(인터넷 정보 서비스) 6.0 및 Microsoft IIS(인터넷 정보 서비스) 7.0의 FTP 서비스에 대해 공개적으로 보고된 취약점 2건을 해결합니다. IIS 7.0에서는 FTP 서비스 6.0만 영향을 받습니다. 이 취약점으로 인해 IIS 5.0에서 FTP 서비스를 실행하고 있는 시스템에 원격 코드 실행(RCE)이 발생하거나 IIS 5.0, IIS 5.1, IIS 6.0 또는 IIS 7.0에서 FTP 서비스를 실행하고 있는 시스템에 서비스 거부(DoS)가 발생할 수 있습니다

중요, 리부팅 불필요
권한상승
서비스 거부

MS Windows,?
(특히 IIS Server)

.NET Framework

MS09-056

Windows CryptoAPI의 취약점으로 인한 스푸핑 허용 문제점(974571)

이 보안 업데이트는 Microsoft Windows에서 발견되어 공개적으로 보고된 취약점 2건을 해결합니다. 최종 사용자가 인증에 사용한 인증서에 공격자가 액세스할 수 있는 경우 이 취약점으로 인해 스푸핑이 허용됩니다.

중요, 리부팅 필요
스푸핑

MS Windows,

MS09-057

인덱싱 서비스의 취약점으로 인한 원격 코드 실행 문제(969059)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 ActiveX 구성 요소에 대한 호출을 통해 인덱싱 서비스를 실행하는 악의적인 웹 페이지를 설정할 경우 원격 코드 실행을 허용할 수 있습니다. 이 호출은 악의적인 URL을 포함할 수 있으며, 취약점을 악용하여 웹 페이지를 검색하는 사용자의 권한으로 클라이언트 시스템에 액세스할 수 있는 권한을 공격자에게 부여합니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

중요, 리부팅 불필요
서비스 거부

MS Windows,

MS09-058

Windows 커널의 취약점으로 인한 권한 상승 문제점(971486)

이 보안 업데이트는 Windows 커널에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 가장 위험한 취약점은 공격자가 시스템에 로그온하여 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승을 허용할 수 있습니다. 이러한 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

중요, 리부팅 필요
권한상승

MS Windows,

[Officescan] Updateagent 설치하고 업데이트 설정하기

  Trendmicro는 세계백신시장에서 점유율 3위의  보안기업입니다.  타 업체와는 달리  바이러스방어와 연관된 사업에만 집중하고 있는 기업이지요. 과거에 국내의 A사와  글로벌기업인 S사의 백신을 사용한 적이 있었는데  4년전부터 Trendmicro의 Officescan이란 백신시스템을 사용하고 있습니다.   개인이 백신을 사용할 때의 주된 선택 기준은 백신자체의 치료율입니다.  하지만  기업에서 백신시스템을 선택할 때의 기준은  운영및 통제가 얼마나 쉽고 정확하게 이루어 지느냐라고 할 수있습니다.  치료율이 좋은 백신들이 대부분 무겁다는 사실은  기업에서는 그다지 반가운 일이 아니지요..    Officescan이 확실히 치료율이 우수한 백신이라고 하기는 힘든 면이 있습니다.  하지만 기업내에 흩어져 있는 수많은 클라이언트들을 한눈에  보고 쉽게 관리할 수 있게 해주는 면에 있어서는 탁월하다고 할 수 있습니다.

  기업내에선 네트웍 대역폭이 매우 작은 지점들이 다수 존재합니다.  백신은 매일 한번씩은 패턴 업데이트를 다운받아야 하는데  패턴의 용량이 갈수록 커지는 현실을 놓고 볼때   어떻게 백신 클라이언트들을 관리할 것이냐는 어려운 문제라고 할 수있습니다.  트렌드에서는 기존에 Update agent를 통해서  이런 고민에 대해서 해결책을 제시해왔고  최근 Officescan10 버전이 나오면서 Smartscan이라고 하는 새로운 Cloud방식의 관리로  새로운 해결책을 제시했습니다.  Smartscan은 차후에 다시 언급하기로 하고 여기서는 Update agent을 구성하고 사용하는 방법에 대해서 정리해보았습니다.

==================================================================
상      황 : 1M 대역폭의 전용선 에  50대의 PC를 보유하고 있는  A지점
요구사항: 50대의 pc중에서 한 대만 중앙서버로부터 패턴을 업데이트 받고 
              이 pc를 통해  내부의 다른pc들에 설치된 백신이 업데이트 되게하라.
              백신업데이트때문에  업무트래픽이 느려지거나 장애가 발생해서는 안된다.
해 결 책:  지점의 한 PC를 Update agent로 설정하고  
              A 지점에서는 이 update agent를 통해서  패턴을 업데이트 받게 한다.
===================================================================

1. 준비: 일단 Updateagent로 사용할 시스템을 준비한다.  서버가 아니라도 상관이 없다 (XP도 가능)
    될수있으면 24시간 켜있는 시스템을 활용하는것이 좋다. (이중화를 위해 여러대를 설정할 수도 있다)
    지점의 시스템은 Officescan 백신 client가  이미 설치되어 있어야 한다.

2.  먼저 Update agent를 만들어야 한다.  (중앙서버의 웹콘솔에서 작업 가능)
   1) Networked Computers / Client Management 메뉴로 이동
   2) Update agent로 사용할 시스템을 클릭한다.
   3) 상부의 Settings메뉴를 클릭하여  [Update agents settings]항목을 클릭한다.사용자 삽입 이미지    4) update agent settings 창이 나오면 아래와 같이  [clients can act as Update agents] 항목을 체크한다사용자 삽입 이미지   5) 이제 막 만든 Update agent를 웹콘솔에서 확인할 수 있다.  아이콘이 색다르다. (약간의 시간 소요)사용자 삽입 이미지
3.  이제는 Update 정책을 만들어 주어야 한다.
   1) 웹콘솔에서  Updates / Network computers/ Update source 메뉴로 이동
   2) A지점의 네트웍 대역을 입력한다.
   3) 조금 전에 만든 Update agent가 리스트에 나오는데  이것을 선택해준다.
   4) 저장
 사용자 삽입 이미지
4. Update정책의 확인하고 배포합니다.
   1) A지점의 아이피 대역과  Update agent 시스템의 업데이트 주소를 확인합니다.
   2) Notify All Clients 버튼을 클릭하여  정책을 배포합니다.
   사용자 삽입 이미지
    3) 제안: Update agent외의 어떤 pc도 중앙서버에서 패턴을 받아가는 일이 없도록 하기위해서
        Update source 메뉴의 상단에 보이는 [Update from Officescan server if all ……]을 체크한다.
        실제로 Update agent가 다운되면  A 지점의 pc들은  중앙서버가 아닌 인터넷상에 존재하는
        Trend update  서버에 접속하여  업데이트를 받게된다.  
사용자 삽입 이미지
5. Update agent의 정상 작동 확인
    1) 실제로 A지점의 백신클라이언트들이  Update agent로부터 업데이트를 잘 받아 갈 수 있을지 확인하려면
       http://update_agent_update_url/server.ini 를 접근해 본다.
       다운로드가 되면  update agent가 정상 작동하고 있는 것이다.  
사용자 삽입 이미지
     2) 클라이언트 PC의 아래 경로에서 실제 클라이언트들의 업데이트 로그를 확인해본다.
       디렉토리 위치: C:\Program Files\Trend Micro\OfficeScan Client\ConnLog\
       가장 확실한 점검이죠.. ^^

보안솔루션을 선택하기 전 반드시 알아야 할 것들

  보안솔루션에서 제공한다고 하는  여러가지 기능들이 제대로 작동할 것이라고 기대하고들 계시겠지만   실제로는 그렇지 않은 경우가 많습니다.  보안솔루션을 선택할 때 주의 할 것들을 정리해보았습니다. 회사에서 보안업무를 하면서 경험으로 배운 것들이죠..  ㅠㅠ  보안솔루션을  BMT하거나 할 때  아래의 사항을 충분히 숙지하고  잘 선택하시기 바랍니다.
 

▶ 보안솔루션을 선택하기 전   반드시 알아야 할 것

1) 직접 확인하지 않은 것은 믿지 말고   가능한 모든 케이스를 테스트하라  
   보안프로그램의 경우  가능한 모든 케이스를 실제로 테스트하는 것이 중요합니다.   제 경우엔  모니터링만 할때는 문제가 없다가  차단을 시작하면서  블루스크린이 수많은 PC에서 발생하는 경우를 경험한바 있습니다.  보안프로그램은  드라이버단에서 동작하므로  가능한 모든 상황에서  모든테스트를 아끼지 않아야 합니다. 
2) 레퍼런스가 많지 않는 새로운 제품일 경우 주의가 요구된다.
   이런 경우 제조사의 규모가 작거나  재무구조가 불안할 경우  제품이 단종되고나  회사가 문을 닫거나 할 수있는 가능성이 있습니다.   이럴경우 비싼 비용을 주고 구매한 솔루션이  몇년 지나지 않아  사후 지원을 받을 수없게 될 수도 있습니다.
3) 안정적인 동작이 가능한지 확인하라
    Bluescreen이 많이 뜨기라도 한다면   보안프로젝트의 신뢰성은 땅에 떨어지고  사람들로부터 외면을 받게 될 수 있습니다.  보안프로그램에서 제공하는 화려한 많은 기능보다는   안정적인 동작과 운영이 가능한 지가 훨씬 더 중요한 결정요소라는 것을 잊지마시기 바랍니다.
4) 취약점을 인지하고  제품이 제공하는 보호범위와 기능이 어디까지인지  명확히 확인하라
   보안프로그램에도 한계가 있는 것이 사실입니다.  취약점을 미리 확인할 수있고 관리적인 방법으로 해결할 수 있다면  취약점이 반드시 위험하다고만은 할 수 없을 것입니다.  모르고있는것은 위험할 수 있겠지요..

 발견하기 힘든 취약점이라고 절대로 안심하지 마시기 바랍니다.  유저들은 받드시 취약점을 찾아냅니다. 영업부이든 생산부이든   누군가 취약점을 찾아 낼 것이고  곧  그 내용은 사내에서 공유될 것입니다.  그리고 취약점이 발견되는 데에는  그리 오랜 시간이 걸리지 않을 것입니다.  발견된 취약점이  신속하게 보안팀에 보고될 수있게 하시고  이런 경우  포상제도까지 마련하는 것이 필요할 수 있겠지요..  

보안USB의 주요 취약점에 대한 분석

원문참조: http://www.itdaily.kr/news/articleView.html?idxno=19018#

  보안프로그램들에도 여러가지 취약점이 존재합니다.  아래에 소개되는 것은  올해초에 보안USB 취약점이라고 발표되었던 내용입니다.  보안USB뿐만 아니라 보안프로그램 범주에 들어가는 것들은  이런 취약점이 존재할 수 있습니다. 보안프로그램  또는 보안USB를 도입하고자 하는 기업은 반드시 아래의 취약점들이 조치되었는지 확인하는 것이 필요합니다.  

 
▶ 보안USB에서 그동안 발견된 주요 취약점 정리

1. 실행 프로세스 강제 종료 우회 방법
B사 : 에이전트 보호 기능으로 프로세스 정지 또는 서비스 삭제 방지 기능, 안전모드에서의 매체 제어 정상동작 기능, 윈도우 복구를 통한 에이전트 제거 방지 기능, 안전모드에서의 서비스 삭제 방지 기능을 지원한다.
C사 : 자체 보호기능, 프로세스 Kill 방지, 복원 기능으로 프로세스 강제 종료를 통한 자료 유출을 원천 방지한다. 자체 보호기능은 레지스트리 조작, 프로그램 조작 방지 기능으로 사용자의 임의 조작을 차단하며, 프로세스 Kill 방지 기능은 중요 프로세스 숨김, Kill 방지로 강제 종료를 할 수 없다. 만일의 경우 프로세스가 종료되어도 자동 재실행이 된다.

2. 시작프로그램 삭제 우회 방법
서비스 강제 종료 금지 기능 지원

3. 안전모드 부팅 우회 방법
폴더 삭제 또는 변경 금지 기능 지원

4. PC부팅 시간차 우회 방법
드라이브 레벨에서 제어하는 솔루션이기 때문에 PC부팅 시간과 관계없이 매체 차단 구현

5. 안전모드 폴더 삭제 우회 방법
B사 : 안전모드로 부팅후 일반USB로 저장하려 해도 기본적인 차단으로 매체를 제어한다.
C사 : 안전모드로 부팅해도 자체 보호 모듈을 포함하여 모든 기능이 정상 동작하므로 프로그램 폴더 삭제 등을 통해 무력화 시킬 수 없다.

6. 공유폴더 접근 우회 방법
공유를 하더라도 인증없는 상태에서는 암호화 상태이기 때문에 자료 유출을 할 수 없다.

7. 도스 창 우회 방법
도스 명령을 통한 접근 시에도 인증없이는 내용을 볼 수 없다.

8. 특정 소프트웨어(예: 파이널데이타SW)를 통한 불법접근 우회접근 방법
애플리케이션 실행 제어 기능으로 사전에 등록해 우회접근을 원천 차단한다.

9. 패스워드 스니핑 공격 무력화 우회 방법
고려대에서 암호화 검증을 받은 K라이브러리를 통한 완벽 보안을 하고 있다.

10. VM웨어 우회 방법
B사 : 현재까지 납품된 사이트는 VM웨어를 사용하지 않고 있어 이로 인한 문제가 발생한 적이 없으며, 보안 적합성을 받은 모든 제품의 문제로 향후 판매를 대비해 보완 중이다.
C사 : VM웨어에서 일반 USB를 통한 자료 유출이 가능한 취약점이 발견된 건 사실이나 추가로 보완 모듈을 개발 완료하여 테스트를 진행 중이며, 현재 고객사에 적용 예정이다.

이밖에도 공인인증서를 저장하는 경우 보안USB 승인을 받지 않아도 되는 점을 악용한 공인인증서 파일확장자로 변경하여 시도되는 자료 유출과 관련 일반USB에 대해서는 파일확장자 예외없이 쓰기(write)를 커널 드라이버 레벨에서 근본적으로 차단하므로 파일 확장자를 변경해 저장하는 게 불가능하다.