목차 Part Ⅰ 5 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Castov 악성코드... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론... 10 3. 허니팟 / 트래픽분석... 11 (1) 상위 Top 10 포트... 11 (2) 상위 Top 5 포트월별추이... 11 (3) 악성트래픽유입추이... 12 4. 스팸메일분석... 13 (1) 일별스팸및바이러스통계현황... 13 (2) 월별통계현황... 13 (3) 스팸메일내의악성코드현황... 14 Part Ⅱ 보안이슈돋보기... 15 1. 5 월의보안이슈... 15 2. 5 월의취약점이슈... 17 페이지 2
Part Ⅰ 5 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2013년 05월 01일 ~ 2013년 05월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 New Trojan.Dropper.OnlineGames.wsxp Trojan 2,421 2 1 Trojan.Rootkit.killav Spyware 2,345 3 1 Trojan.KillAV.sysdll Trojan 2,245 4 New Gen:Variant.Adware.Graftor.Elzob.19694 Etc 2,054 5 New Gen:Trojan.Heur.SFC.mu3@a0WEtZabb Trojan 1,973 6 New DeepScan:Generic.PWS.WoW.784C1BFC Etc 1,963 7 New DeepScan:Generic.PWS.WoW.384BFE16 Etc 1,705 8 3 Spyware.OnlineGames.wsxp Spyware 1,590 9 New Gen:Variant.Kazy.125570 Etc 1,588 10 New Gen:Trojan.Heur.PT.mmZ@aSYZPXo Trojan 1,570 11 New Gen:Trojan.Heur2.RP.fCXbaCV3gqfO Trojan 1,519 12 New Trojan.Heur.GM.1004030428 Trojan 1,514 13 New Gen:Trojan.Heur.PT.mqZ@a4OTGYk Trojan 1,423 14 New Trojan.Heur.GM.1000030428 Trojan 1,391 15 14 Trojan.Dropper.OnlineGames.ver Trojan 1,356 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 5월의감염악성코드 TOP 15에서는지난달순위권밖이었던 Trojan.Dropper.OnlineGames.wsxp가 새롭게 1위를차지하였습니다. 1위를차지한이악성코드는온라인게임계정탈취를목적으로하 는악성코드를 PC내에드롭시키기위한트로이목마입니다. 아울러 4월통계에서 1위를차지했던 Trojan.Dropper.OnlineGames.ver가 14단계가떨어진 15위를차지했습니다. 2위와 3위는, 지난달 3위와 4위에서한계단씩상승한 Trojan.Rootkit.killav와 Trojan.KillAV.sysdll가 차지하였는데, 이들은모두 Trojan형태로써윈도우OS의보안취약점을이용하여윈도우시스템 파일을변조하여이를통해백신무력화를시도하는악성코드입니다. 1,2,3위를차지한악성코드 모두온라인게임계정탈취를위한연계동작 ( 침투, 시스템파일변조, 백신무력화, 정보탈취 ) 과관련 있으며, 이러한악성코드들은변조된웹사이트를통해최초유포되는경우가많으므로항상알약 의실시간감시기능을활성화시키고신뢰할수있는웹사이트만방문하는것이안전합니다. 페이지 3
(2) 카테고리별악성코드유형 기타 (Etc) 27% 스파이웨어 (Spyware) 15% 트로이목마 (Trojan) 58% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 58% 를차지했으며, 기타 (Etc) 유형이 27% 로 2 위를차지했습니다. 스파이웨어 (Spyware) 유형의경우 15% 로 3 위의점유율을 보였습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 7% 15% 15% 32% 27% 46% 58% 4 월 5 월 2 4 6 8 10 5월에는지난 4월과비교하여트로이목마 (Trojan) 유형이크게증가하는모습을보였습니다. 스파이웨어 (Spyware) 유형은지난달과동일하며, 호스트파일 (Host) 유형과기타 (Etc) 유형은감소하였습니다. 전체적인감염수치는 4월보다 5월이전체적으로대폭감소하였습니다. 페이지 4
(4) 월별피해신고추이 [2012 년 06 월 ~ 2013 년 05 월 ] 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는 4월은 3월에비해 2 정도감소하였습니다. (5) 월별악성코드 DB 등록추이 [2012 년 06 월 ~ 2013 년 05 월 ] 201206 201207 201208 201209 201210 201211 201212 201301 201302 201303 201304 201305 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5
Part Ⅰ 5 월의악성코드통계 2. 악성코드이슈분석 Castov 악성코드 (1) 개요 CASTOV는 SYMANTEC에서말하길국내금융회사들을타겟으로한 Banking malware라고공개했다. 프로세스명이 svohcst.exe인것을추적해보면이와같은공격방식은 5월부터본격유포된것으로보인다. 블로그내용에따르면흥미롭게도 Online banking software and security DLLs에후킹을시도한다고하여분석해보았다. (2) 행위분석 먼저이코드는난독화가잘되어있다. 두세번의메모리할당과복호화를통해원래코드를찾 을수있다. 이샘플은주말간취약한웹사이트를통해유포가되었던것으로, 배포방식또한툴을사용하여 계속적으로해쉬값을변경하도록했다. 이것은난독화 + 해쉬변경의조합으로최대한시그니처 탐지를회피, 생존성을높이려했다는것을추측해볼수있다. 복호화이후자신을 svohcst.exe 숨김속성으로재실행한다. 그리고다음과같이프로세스중에 Anti AV 제품의프로세스이름을찾아 SetTcpEntry 함수를호출한다. 페이지 6
Anti AV code MUpdate2.exe mautoup.exe restoreu.exe mupdate2.exe v3light.exe v3lsvc.exe aflogvw.exe afquavw. exe v3lexec.exe wsctsk.exe setup_v3rcv.exe v3lrun.exe v3ltray.exe v3medic.exe v3restore.exe afquavw.exe restore.exe afquavw.exe btscan.exe ahnrpt.exe restoreu.exe AFLogVw.exe AhnAzExE.exe V3LExec.exe V3Light.exe V3LNetDn.exe V3LRun.exe WscTsk.exe AKDVE.exe V3Medic.exe V3LAxAgn.exe ahnr pt.exe V3LTray.exe AFQuaVw.exe V3LSvc.exe setup_v3rcv.exe MAutoup.exe MUpdate2.exe mautoup. exe restoreu.exe mupdate2.exe sgdnldr.exe sgrun64.exe sgui.exe sgrun.exe sgsvc.exe v3restore.exe a fquavw.exe restore.exe restoreu.exe ahnrpt.exe Sgui.exe SgRun64.exe SgDnldr.exe SgSvc.exe SgRun. exe ALUpdate.exe ALUpExt.exe ALUpProduct.exe ALYac.aye AYAgent.aye AYCon.exe AYHost.aye AYLa unch.exe AYPatch.aye AYRTSrv.aye AYRunSC.exe AYShell.aye AYTask.aye AYUpdate.aye AYUpdSrv.aye ESTCM.exe bootalyac.exe NaverAgent.exe Uninst_Agent.exe NaverCommonUpdater_1_0_0_4.exe N ELO_CrashReporter.exe RemoveUpdater.exe NaverSafeGuard.exe NELO_CrashReporter.exe); AV process list 찾아본바로는 xp 이하에서 update 를방해하기위한코드로보인다. (vista 이상은권한이있어야 실행된다고하나따로확인하지않음 ) 페이지 7
Download Encrypted Data 이후특정사이트로접속하여암호화된 DATA 를읽어오고해당데이터를다시메모리상에서복호화한다. 읽어오는 DATA 는 IE Injection Routine과 Injection시실행되는코드로구성되어있다. IE Injection은 GetClassNameA API를활용, Internet Explorer_Server 인 ClassName을찾아 PID를얻어 Injection한다. Injection 이완료되면다음과같이 INIdirectbankUI60.dll, BankPayEFT.ocx, ssa_lg_uplus.dll 를타겟으로한스레드가반복해서돌게된다. 모두전자결제관련모듈들로 IE 와 ActiveX 로구 동되는환경이다. Hooking Code 페이지 8
INIdirectbankUI60.dll 이니시스전자결제모듈 BankPayEFT.ocx 금융결제원전자결제모듈 ssa_lg_uplus.dll 펜타시큐리티시스템전자결제모듈 이중많이사용하는 BankPayEFT.ocx 모듈은국내대표적인온라인쇼핑몰옥션 (auction) 사이트에 서도주문시요구하는결제모듈로실제테스트진행후모듈의특정주소코드가변경되는것을 확인하였다. Screenshot Auction site BankPayEFT.ocx 모듈이 IE 에로드되면스레드는이를탐지하고이어서 y7csel.dll 의모듈핸들을 얻어 cs_get_pwd 라는함수주소를찾아 +33 offset 의주소를변경 ( 후킹 ) 한다. Module Hooking 페이지 9
후킹 (hooking) 된주소를따라가게되면전자인증서, 패스워드, 스크린샷등수집된정보를압축파 일로생성하여특정웹서버로 POST 전송하는코드를확인할수있다. Remote Server Site 각각의전자결제모듈별로후킹함수를정리하면다음과같다. INIdirectbankUI60.dll > inicore_v2.3.16.dll -> ICL_COM_Check_Password BankPayEFT.ocx > y7csel.dll -> cs_get_pwd ssa_lg_uplus.dll > BG_SSACnK_Load 정확한주소를찾아서후킹하는것을보면크래커에의한상당한분석작업이이루어졌음을추측 할수있다. 따라서앞으로더다양한환경과모듈들을추가하여다시악성코드를배포할것이라 예측해본다. (3) 결론 전자결제모듈이후킹되어개인정보수집에이용된다는것은그많큼안전하지않다는것을의미하므로모듈개발에좀더보안조치가이루어져야할것이며, 백신또한메모리검사및행위탐지등여러방법을통해시그니처탐지의한계를보완해야할것같다. 페이지 10
Part Ⅰ 5 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 235900 3389 2% 1% 3% 110 11% 1433 33% 3306 48% 3306 1433 110 3389 23 5900 25 4899 22 6666 (2) 상위 Top 5 포트월별추이 [2013 년 03 월 ~ 2013 년 05 월 ] 2013 년 3 월 2013 년 4 월 2013 년 5 월 3306 1433 110 3389 5900 페이지 11
(3) 악성트래픽유입추이 [2012 년 12 월 ~ 2013 년 05 월 ] 2012 년 12 월 2013 년 1 월 2013 년 2 월 2013 년 3 월 2013 년 4 월 2013 년 5 월 페이지 12
2013-5-1 2013-5-3 2013-5-5 2013-5-7 2013-5-9 2013-5-11 2013-5-13 2013-5-15 2013-5-17 2013-5-19 2013-5-21 2013-5-23 2013-5-25 2013-5-27 2013-5-29 2013-5-31 Part Ⅰ 5 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 바이러스 스팸 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나 타내는그래프입니다. 5 월의경우 4 월에비해스팸메일수의수치는 4 넘게감소했으나오히려 해당스팸메일에포함되어있는바이러스의수치는 2 배가량증가하였습니다. (2) 월별통계현황 [2012 년 12 월 ~ 2013 년 05 월 ] 1,400,000 1,200,000 0.6% 1,000,000 800,000 600,000 400,000 200,000 0 1.1% 99.4 98.9 2.7% 2.9% 2.5% 8. 97.5 97.1 97.3 92.0 12월 1월 2월 3월 4월 5월 악성코드 스팸 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는그래프입니다. 5월에는스팸메일이 92., 악성코드첨부메일이 8. 의비율로수신된것으로확인되었습니다. 스팸메일은 4월에비해 4 넘게줄었으나메일에포함된악성코드는 4월에비해무려 2배가까이증가했습니다. 페이지 13
(3) 스팸메일내의악성코드현황 [2013 년 05 월 01 일 ~ 2013 년 05 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 1,451 16.45% 2 W32/MyDoom-H 1,117 12.67% 3 Mal/ZipMal-B 478 5.42% 4 Mal/DrodZp-A 447 5.07% 5 Mal/BredoZp-B 433 4.91% 6 Mal/Phish-A 212 2.4 7 W32/MyDoom-N 193 2.19% 8 Troj/20120158-P 140 1.59% 9 W32/Virut-T 126 1.43% 10 Troj/Invo-Zip 114 1.29% 스팸메일내의악성코드현황은 5월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 4월과마찬가지로 W32/MyDoom-H와 W32/Mytob-C가서로자리만바꾸어각각 1,2위를차지했으며지난달 3위를차지했던 W32/MyDoom-N이 7위로떨어지고대신지난달 10위였던 Mal/ZipMal-B가 3위로크게순위가상승하였습니다. 페이지 14
Part Ⅱ 보안이슈돋보기 1. 5 월의보안이슈 해킹등부당한전자금융사고에대해은행에책임을묻는전자금융거래법개정안이지난주국회를통과했습니다. 그밖에한, 일공동연구진, 해킹불가능한양자통신 기술개발, 지정단말기에서만인터넷뱅킹, SW 취약점신고포상제, 시행 6개월만에 3배, 액티브X 필요없는윈도8 뱅킹등이 5월의이슈가되었습니다. 전자금융거래법개정안통과해킹등부당한전자금융사고에대해은행에책임을묻는전자금융거래법개정안이지난주국회를통과하였다. 전자금융거래법개정안은은행등금융사업자의책임을명문화하였습니다. 개정안의주요내용은해킹사고가발생하면일단금융사가책임을지게됩니다. 물론이용자고의나중과실이있으면은행이면책을받을가능성도있지만, 입증책임은은행이지게됩니다. 이번에통과된전자금융거래법개정안은 6개월후에시행될예정입니다. 윈도우XP 지원곧종료 기업의보안은? 마이크로소프트윈도XP의지원기간이채일년도남지않았지만, 국내기업 PC의절반이상이여전히윈도 XP를사용하고있는것으로나타났습니다. 이는세계평균에비해비교하기힘들정도로높은비중입니다. 윈도우XP 서비스지원이종료되면사용자는보안업데이트, 핫픽스, 기술지원등을받을수없게되며, 최신드라이버지원및추가로발견된취약성에대한패치를받을수없기때문에보안에취약한상태로불안하게이용할수밖에없게되는것입니다. 한, 일공동연구진, 해킹불가능한양자통신 기술개발한, 일공동연구진이양자상태의빛을증폭시켜손실없이공간이동시키는데성공하였습니다. 양자상태의빛은여러양자상태의중첩을이용하여고용량의정보를담을수있으며, 빠른속도및손실없는정보전달로획기적인보안능력을갖춘양자통신, 초고속양자컴퓨터등을구현할수있을것으로기대됩니다. 지정단말기에서만인터넷뱅킹금융위원회와금융감독원은 14일부터그동안일부신청자를대항으로시험시행해온 전자금융사기예방서비스 를오는 9월 26일부터모든이용자를대상으로확대시행한다고밝혔습니다. 이에따라서, 앞으로인터넷뱅킹으로 300만원이상의돈을이체하거나공인인증서를재발급받으려면이리지정한단말기를이용해야합니다. 또한지정되지않은단말기로인터넷뱅킹시에는, 휴대전화문자인증이나유선전화를통한인증등추가본인확인절차를걸쳐야합니다. 페이지 15
SW 취약점신고포상제, 시행 6개월만에 3배 소프트웨어취약점을신고하면포상금을지급하는 신규취약점신고포상제 가본격적으로활성화되고있습니다. 취약점수집의확대를위하여, 지난 10월부터우수신규취약점에대해포상금을지급하기시작하였고이에신고건수가크게증가하였습니다. 신고된취약점은국내소프트웨어가대부분이였으며, 주로홈페이지구축소프트웨어, PC용소프트웨어, 모바일앱순인것으로알려졌습니다. 액티브X 필요없는윈도8 뱅킹나왔다 20일, IBK기업은행이국내은행권최초로윈도8 앱기반타일모드에서지원하는윈도뱅킹서비스를출시하였습니다. 이윈도뱅킹은터치기반의사용자경험을반영하였으며, 마우스와키보드로이용할수있으며, 기존윈도기반인터넷뱅킹서비스와의가장큰차이는애플리케이션기반이라는점입니다. 특히액티브 X설치가필요없으며, 공인인증서는 MS 가제공하는 공인인증서관리앱 에저장하는방식입니다. 금감원사칭익스플로러팝업창피싱주의보최근인터넷사용자들을대상으로금융정보를탈취하기위하여피싱사이트로유도시키는팝업창이발견되었습니다. 이번경우, 사용자가인터넷을이용하기위하여포털사이트에접속하면, 금융감독원보안관련인증절차진행 을사칭한팝업창이나타난후사라지지않았습니다. 이렇게팝업창을이용한피싱은새로운형식의피싱방식으로, 사용자들의주의가필요합니다. 페이지 16
2. 5월의취약점이슈 Microsoft 5월정기보안업데이트 Internet Explorer 누적보안업데이트, HTTP.sys 취약점으로인한서비스거부문제,.NET Framework의취약점으로인한스푸핑문제, Lync의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 5월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Internet Explorer 누적보안업데이트 (2829530) 이보안업데이트는 Internet Explorer의비공개적으로보고된취약점 11건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Internet Explorer 누적보안업데이트 (2847204) 이보안업데이트는 Internet Explorer의공개된취약점 1건을해결합니다. 이취약점은사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행을허용할수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. HTTP.sys 취약점으로인한서비스거부문제점 (2829254) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해공격자가영향을받는 Windows 서버나클라이언트에특수하게조작된 HTTP 패킷을보낼경우서비스거부가발생할수있습니다..NET Framework 의취약점으로인한스푸핑문제점 (2836440) 페이지 17
이보안업데이트는.NET Framework의비공개적으로보고된취약점 1건과공개적으로보고된취약점 1건을해결합니다. 가장위험한취약점으로인해.NET 응용프로그램에서특수하게조작된 XML 파일을수신할경우스푸핑을허용할수있습니다. 취약점악용에성공한공격자는파일의서명을무효화하지않으면서 XML 파일의내용을수정하고인증된사용자인것처럼종점기능에대한액세스권한을얻을수있습니다. Lync의취약점으로인한원격코드실행문제점 (2834695) 이보안업데이트는비공개적으로보고된 Microsoft Lync의취약점을해결합니다. 이취약점으로인해공격자가특수하게조작된콘텐츠 ( 파일또는프로그램등 ) 를 Lync 또는 Communicator에서프레젠테이션으로공유한다음사용자가초대를수락하여프레젠테이션가능한콘텐츠를보거나공유하도록유도할경우원격코드실행이허용될수있습니다. 어떠한경우에도공격자는강제로사용자가공격자제어파일또는프로그램을보거나공유하도록만들수는없습니다. 대신공격자는사용자가 Lync 또는 Communicator에서초대를수락하여프레젠테이션가능한콘텐츠를보거나공유하게하는등의조치를취하도록유도해야합니다. Microsoft Publisher의취약점으로인한원격코드실행문제점 (2830397) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 11건을해결합니다. 이러한취약점으로인해사용자가영향을받는버전의 Microsoft Publisher로특수하게조작된 Publisher 파일을열경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Word의취약점으로인한원격코드실행문제점 (2830399) 이보안업데이트는비공개적으로보고된 Microsoft Office의취약점을해결합니다. 이취약점으로인해사용자가영향을받는 Microsoft Office 소프트웨어에서특수하게조작된파일을열거나특수하게조작된전자메일메시지를미리볼경우코드실행을허용할수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Visio의취약점으로인한정보유출문제점 (2834692) 이보안업데이트는비공개적으로보고된 Microsoft Office의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된 Visio 파일을열경우정보유출이발생할수있습니다. 이취약점으로인해공격자가직접코드를실행하거나해당사용자권한을상승시킬수는없지만영향을받는시스템의손상을악화시키는데사용할수있는정보를생성할수있습니다. 페이지 18
Windows Essentials의취약점으로인한정보유출문제점 (2813707) 이보안업데이트는비공개적으로보고된 Windows Essentials의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된 URL을사용하여 Windows Writer를열경우정보유출이발생할수있습니다. 취약점악용에성공한공격자는 Windows Writer 프록시설정을무시하고대상시스템에서사용자가액세스할수있는파일을덮어쓸수있습니다. 웹기반의공격시나리오에서웹사이트는이취약점을악용하는데사용되는특수하게조작된링크를포함하고있을수있습니다. 공격자는사용자가웹사이트를방문하고특수하게조작된링크를열도록유도해야합니다. 커널모드드라이버의취약점으로인한권한상승문제점 (2840221) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 3건을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-may 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-may 페이지 19
아래한글임의코드실행취약점보안업데이트권고 한글과컴퓨터社에서개발한워드프로세서인 아래한글 에서임의코드실행이가능한취약 점이발견됨 낮은버전의아래한글사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트권고공격자는웹게시물, 스팸메일, 메신저의링크등을통해특수하게조작된한글문서 (HWP) 를열어보도록유도하여임의코드를실행시킬수있음 < 해당제품 > 한글 2007 7.5.12.672 이전버전 한글 2010 SE+ 8.5.8.1340 이전버전 < 해결방법 > 한글과컴퓨터홈페이지에서보안업데이트파일을직접다운로드받아설치하여아래버전으로업데이트 - 한글 2007 7.5.12.672 이상버전 - 한글 2010 SE+ 8.5.8.1340 이상버전 - 다운로드경로 : http://www.hancom.co.kr/download.downpu.do?mcd=001 한글과컴퓨터자동업데이트를통해한글최신버전으로업데이트 - 시작 모든프로그램 한글과컴퓨터 한글과컴퓨터자동업데이트 < 참고사이트 > http://www.hancom.co.kr/download.downpu.do?mcd=001 Adobe Reader/Acrobat 신규취약점주의권고 Adobe 社는 Adobe Reader와 Acrobat에영향을주는취약점을해결한보안업데이트를발표. 낮은버전의 Adobe Reader/Acrobat 사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트권고 Adobe 社는 Adobe Reader/Acrobat의취약점 27개에대한보안업데이트를발표 - 임의코드실행으로이어질수있는메모리손상취약점 (CVE-2013-2718, CVE-2013-2719, CVE-2013-2720, CVE-2013-2721, CVE-2013-2722, CVE-2013-2723, CVE-2013-2725, CVE-2013-2726, CVE-2013-2731, CVE-2013-2732, CVE-2013-2734, CVE-2013-2735, CVE- 2013-2736, CVE-2013-3337, CVE-2013-3338, CVE-2013-3339, CVE-2013-3340, CVE-2013-3341) 페이지 20
- 임의코드실행으로이어질수있는정수형언더플로우취약점 (CVE-2013-2727, CVE- 2013-2549) - 샌드박스보호기능우회로이어질수있는 use-after-free 취약점 (CVE-2013-2550) - 정보유출로이어질수있는자바스크립트 API 취약점 (CVE-2013-2737) - 임의코드실행으로이어질수있는스택오버플로우취약점 (CVE-2013-2724) - 임의코드실행으로이어질수있는버퍼오버플로우취약점 (CVE-2013-2730, CVE-2013-2733) - 임의코드실행으로이어질수있는정수형오버플로우취약점 (CVE-2013-2727, CVE- 2013-2729) - 운영체제에의해블랙리스트처리된도메인을 Reader에서처리하는데발생한취약점 (CVE-2013-3342) < 해당제품 > Adobe Reader XI 윈도우즈및 Mac 11.0.02 및이전버전 Adobe Reader X 윈도우즈및 Mac 10.1.6 및이전버전 Adobe Reader 9 윈도우즈, Mac 및리눅스 9.5.4 및이전버전 Adobe Acrobat XI윈도우즈및 Mac 11.0.02 및이전버전 Adobe Acrobat X 윈도우즈및 Mac 10.1.6 및이전버전 Adobe Acrobat 9 윈도우즈및 Mac 9.5.4 및이전버전 < 해결방법 > Adobe Reader 사용자 - Adobe Download Center(http://get.adobe.com/kr/reader/otherversions/) 를방문하여최신버전을설치하거나 [ 메뉴 ] [ 도움말 ] [ 업데이트확인 ] 을이용하여업그레이드 Adobe Acrobat 사용자 - 아래의 Adobe Download Center 를방문하여최신버전을설치하거나 [ 메뉴 ] [ 도움 말 ] [ 업데이트확인 ] 을이용하여업그레이드 윈도우즈환경의 Adobe Acrobat http://www.adobe.com/support/downloads/product.jsp?product=1&platform=windows 맥킨토시환경의 Adobe Acrobat Pro http://www.adobe.com/support/downloads/product.jsp?product=1&platform=macintosh < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb13-15.html 페이지 21
Adobe Flash Player 취약점보안업데이트권고 Adobe 社는 Adobe Flash Player에영향을주는코드실행취약점을해결한보안업데이트를발표. 낮은버전의 Adobe Flash Player 사용으로악성코드감염등의사고가발생할수있으므로해결방안에따라최신버전으로업데이트권고 Adobe 社는 Adobe Flash Player의 13개취약점을해결한보안업데이트를발표 - 코드실행으로이어질수있는메모리손상취약점 (CVE-2013-2728, CVE-2013-3324, CVE-2013-3325, CVE-2013-3326, CVE-2013-3327, CVE-2013-3328, CVE-2013-3329, CVE- 2013-3330, CVE-2013-3331, CVE-2013-3332, CVE-2013-3333, CVE-2013-3334, CVE-2013-3335) < 해당제품 > Flash Player 윈도우즈및 Mac 11.7.700.169 및이전버전 Flash Player 리눅스 11.2.202.280 및이전버전 Flash Player 안드로이드 4.x 11.1.115.54 및이전버전 Flash Player 안드로이드 3.x, 2.x 11.1.111.50 및이전버전 AIR 윈도우즈및 Mac 3.7.0.1530 및이전버전 AIR 안드로이드 3.7.0.1660 및이전버전 AIR SDK 및 Compiler 3.7.0.1530 및이전버전 < 해결방법 > 윈도우, Mac, 리눅스환경의 Adobe Flash Player 사용자 - Adobe Flash Player Download Center (http://get.adobe.com/kr/air/http://get.adobe.com/kr/air/) 에방문하여 Adobe Flash Player 최신버전을설치하거나, 자동업데이트를이용하여업그레이드 윈도우 8 버전에서동작하는인터넷익스플로러 10 버전사용자 - 윈도우자동업데이트적용 안드로이드환경의 Adobe Flash Player 사용자 - Adobe Flash Player가설치된안드로이드폰에서 구글플레이스토어 접속 메뉴선택 내애플리케이션선택 Adobe Flash Player 안드로이드최신버전으로업데이트하거나자동업데이트를허용하여업그레이드 구글크롬브라우저사용자 - 크롬브라우저자동업데이트적용 윈도우, Mac 환경의 Adobe AIR 사용자 페이지 22
- Adobe AIR Download Center(http://get.adobe.com/kr/air/) 에방문하여 Adobe AIR 최신버전을설치하거나, 자동업데이트를이용하여업그레이드 Adobe AIR SDK 사용자 - (http://www.adobe.com/devnet/air/air-sdk-download.html) 에방문하여 Adobe AIR SDK 최신버전을설치 안드로이드환경의 Adobe AIR 사용자 - Adobe AIR가설치된안드로이드폰에서 구글플레이스토어 접속 메뉴선택 내애플리케이션선택 Adobe AIR 안드로이드최신버전으로업데이트하거나자동업데이트를허용하여업그레이드 < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb13-14.html 페이지 23
Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr 페이지 24