목차 Part Ⅰ 8 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 포털사이트배너광고파밍악성코드... 6 3. 허니팟 / 트래픽분석... 11 (1) 상위 Top 10 포트... 11 (2) 상위 Top 5 포트월별추이... 11 (3) 악성트래픽유입추이... 12 4. 스팸메일분석... 13 (1) 일별스팸및바이러스통계현황... 13 (2) 월별통계현황... 13 (3) 스팸메일내의악성코드현황... 14 Part Ⅱ 보안이슈돋보기... 15 1. 8 월의보안이슈... 15 2. 8 월의취약점이슈... 17 페이지 2
Part Ⅰ 8 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2013년 08월 01일 ~ 2013년 08월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Gen:Trojan.Heur.GM.8500010002 Trojan 5,106 2 New Gen:Variant.Kazy.96966 Etc 2,603 3 3 Trojan.Rootkit.killav Trojan 1,907 4 New Gen:Variant.Kazy.125570 Etc 1,687 5 New Gen:Variant.Graftor.109930 Etc 1,624 6 New Gen:Variant.Symmi.26787 Etc 1,621 7 1 Trojan.KillAV.sysdll Trojan 1,606 8 New Gen:Variant.Strictor.38372 Etc 1,536 9 New Gen:Trojan.Heur.mu3@uCh9qAh Trojan 1,435 10 New Gen:Trojan.Heur.mu3@uKSf0 Trojan 1,342 11 New Gen:Variant.Strictor.37908 Etc 1,300 12 11 Gen:Variant.Graftor.106149 Etc 1,297 13 New Gen:Variant.Kazy.128027 Etc 1,294 14 New Gen:Trojan.Heur.1yXa4WvQ3@nG Trojan 1,260 15 3 Spyware.OnlineGames.wsxp Spyware 1,238 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 8월의감염악성코드 TOP 15에서는지난달 1위를차지했던 Gen:Trojan.Heur.GM.8500010002이또 다시 1위를차지하였습니다. 새롭게 2위를차지한 Gen:Variant.Kazy.96966 악성코드는윈도우시 스템파일을감염시키는동시에정보를탈취하고추가적인악성코드를다운로드하는악성코드입 니다. 3위는지난달 6위를차지했던 Trojan.Rootkit.killav 악성코드가차지했습니다. 전체적으로 8월에는휴가시즌과광복절연휴등이겹쳐있어서전반적으로감염자수가줄어들었으 나여전히많은감염이발생하고있으며, 사용자의소중한계정정보를노리는악성코드가대다수 임을인지하고계정정보관리에많은관심과주의를기울여야합니다. 페이지 3
(2) 카테고리별악성코드유형 기타 (Etc) 48% 트로이목마 (Trojan) 47% 스파이웨어 (Spyware) 5% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서기타 (Etc) 유형이가장많은 48% 를차지했으며, 트로이목마 (Trojan) 유형이 47% 로 2 위를차지했습니다. 이어스파이웨어 (Spyware) 유형이 5% 로 3 위를차지하였습니 다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 5% 3 47% 48% 7 7 월 8 월 2 4 6 8 10 8월에는지난 7월과비교하여트로이목마 (Trojan) 유형이비율상크게감소하였으며기타유형의악성코드가대폭증가하였습니다. 그외에는지난달 Top15에올라오지못했던스파이웨어 (Spyware) 유형의악성코드가소폭증가하였습니다. 페이지 4
(4) 월별피해신고추이 [2012 년 09 월 ~ 2013 년 08 월 ] 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타 내는그래프입니다. (5) 월별악성코드 DB 등록추이 [2012 년 09 월 ~ 2013 년 08 월 ] 201209 201210 201211 201212 201301 201302 201303 201304 201305 201306 201307 201308 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5
Part Ⅰ 8 월의악성코드통계 2. 악성코드이슈분석 포털사이트배너광고파밍악성코드 1 유포경로최초유포경로는 9월 10일오후 11시경부터변조된사이트에서드라이브바이다운로드 (Drvie-by-download) 방식을이용하여생성된파일로인해호스트파일이변조된내역이확인되었다. 유포에사용된경유 URL 과유포 URL 리스트는아래와같다. 일시경유 URL 유포메인 URL 유포파일 URL 09-11 00:33 hxxt://m.tomatomac.com 09-11 00:27 hxxt://www.tomatomac.co m 09-10 23:49 hxxt://www.mh1004.com 09-10 23:44 hxxt://www.cubeaudition. com 09-10 23:41 hxxt://www.torrentnara.kr 09-10 23:38 hxxt://www.cubeent.co.kr 09-10 23:33 hxxt://www.bornwedding. com 09-10 23:23 hxxt://blog.grimreper.net hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.co m/911.html hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe hxxt://best.hanmailbe.com/ 911.exe 유포메인 URL 은모두 CK Vip Exploit 을사용하였으며, Java Explot(CVE-2011-3544, CVE-2012-4681, CVE-2013-0422), IE Explot(CVE-2012-4969) 취약점을사용하였다. 페이지 6
2 악성파일분석 현재까지확인된사항을토대로보고서작성 분석파일은가장최근에발견된변종파일로분석되었음 Detection Name File Name 악성행위 Trojan.Generic.AD.05011714 831781831781.exe 호스트변조 File: 831781831781.exe(Trojan.Generic.AD.05011714) - 파일생성해당파일이실행되면 C:\Documents and Settings\[ 사용자계정 ]\Local Settings\Temp 폴더에배치파일 (BAT) 을생성하여 hosts.ics 파일을생성한다. 생성된 hosts.ics 파일의내부화면은아래와같다. 또한도메인뒤에샾 (#) 특수문자를넣어보안프로그램의호스트탐지를우회한것으로파악된다. 페이지 7
Hosts.ics 파일이란? Hosts.ics 파일은일반적으로사용하지않는인터넷연결공유 (ICS : Internet Connection Sharing) 시특정한클라이언트의 IP 를강제적으로지정하는기능을하는파일이다. 사용자가웹사이트를검색하여찾아갈시참조하게되는정보들이존재하며, 그우선순위는아래와같다. 1) Local DNS Cache 2) Hosts 3) Hosts.ics 4) DNS 우선순위를보면알겠지만, Hosts.ics 파일은 Hosts 파일다음으로우선순위가높다. 최근악성코드제작자는이점을악용하여보안프로그램이감시하고있는 Hosts 파일보다는 감시빈도가적은 Hosts.ics 파일을이용하여파밍사이트로유도하는경우가점점늘어나는 추세이다. - 파밍사이트접속 ( 포털사이트배너광고서버 ) 생성된 hosts.ics 를통해사용자가포털사이트 ( 네이버 ) 접속시메인페이지에보여지는특정광 고서버를파밍하여조작된배너페이지를보여주게된다. 이전파밍은포털사이트 ( 네이버 ) 자체를파밍사이트로생성하여사용자를유도하였지만, 이번악 성코드는포털사이트배너광고서버만을파밍사이트로접속시키기때문에배너광고페이지를제 외한모든페이지는실제포털사이트 ( 네이버 ) 가보여진다. 조작된배너페이지를통해보여지는배너에는 전자금융사기예방서비스 라는배너를보여주며, 마치정상적인포털사이트에서대대적으로홍보하는것처럼보이게하여사용자의클릭을유도한다. 페이지 8
- 파밍사이트접속 ( 금융사이트 ) 사용자가포털사이트에보여지는파밍서버의배너를클릭하면조작된파밍용금융사이트로접 근하여사용자정보가유출될수있다. 페이지 9
2013 년 9 월 30 일부터미래창조과학부와한국인터넷진흥원이개발한 파밍사이트알리미서 비스 로인해파밍금융사이트는대부분차단되고있다. 페이지 10
Part Ⅰ 8 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 1105900 3% 2% 3389 9% 23 22 9% 13% 3306 58% 3306 22 23 3389 110 5900 25 21 80 808 (2) 상위 Top 5 포트월별추이 [2013 년 06 월 ~ 2013 년 08 월 ] 2013 년 6 월 2013 년 7 월 2013 년 8 월 3306 1433 3389 23 22 페이지 11
(3) 악성트래픽유입추이 [2013 년 03 월 ~ 2013 년 08 월 ] 2013 년 3 월 2013 년 4 월 2013 년 5 월 2013 년 6 월 2013 년 7 월 2013 년 8 월 페이지 12
2013-8-1 2013-8-3 2013-8-5 2013-8-7 2013-8-9 2013-8-11 2013-8-13 2013-8-15 2013-8-17 2013-8-19 2013-8-21 2013-8-23 2013-8-25 2013-8-27 2013-8-29 2013-8-31 Part Ⅰ 8 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 800,000 700,000 600,000 500,000 400,000 300,000 200,000 100,000 0 바이러스 스팸 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 8월의경우 7월에비해스팸메일수의수치가무려 8.5배가증가했는데 8/8~8/9 그리고 8/13~8/14 기간동안에만평소에비해무려 50배에가까운스팸메일이유입되었습니다. 그러나증가된스팸메일수치에비해메일에포함된악성코드는 7월과유사하였습니다. (2) 월별통계현황 3,000,000 2,500,000 [2013 년 03 월 ~ 2013 년 08 월 ] 0.8% 2,000,000 1,500,000 1,000,000 500,000 0 99.2 2.9% 2.7% 6.9% 6.8% 8. 97.1 97.3 93.1 92.0 93.2 3월 4월 5월 6월 7월 8월 악성코드 스팸 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 8 월에는스팸메일이 99.2%, 악성코드첨부메일이 0.8% 의비율로수신되었으며스 팸메일수치가무려 265 만여개로기록되었습니다. 페이지 13
(3) 스팸메일내의악성코드현황 [2013 년 08 월 01 일 ~ 2013 년 08 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 476 2.12% 2 W32/MyDoom-H 290 1.29% 3 Mal/DrodZp-A 201 0.9 4 Troj/Invo-Zip 199 0.89% 5 Mal/ZipMal-B 192 0.86% 6 Mal/Phish-A 133 0.59% 7 W32/MyDoom-N 130 0.58% 8 Mal/BredoZp-B 91 0.41% 9 W32/Netsky-P 79 0.35% 10 Mal/FakeAV-OY 66 0.29% 스팸메일내의악성코드현황은 8월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 9월과마찬가지로 W32/Mytob-C와 W32/MyDoom-H가각각 1,2위를차지했으며지난달 10위를차지했던 Mal/DrodZp-A가 3위를차지했습니다. 전체적으로, 휴가시즌인관계로수집된스팸메일내의악성코드수치는조금씩줄었으나수집된스팸메일의수치는 7월에비해 8월이무려 8.5배가량증가하였습니다. 페이지 14
Part Ⅱ 보안이슈돋보기 1. 8 월의보안이슈 앞으로전자금융거래사용자가금융회사의보안조치요구를정당한이유없이거부할경우, 금융사고에대한보상을받지못하게됩니다. 그밖에공인인증서허가제서등록제로전환, 안드로이드마스터키취약점발견, NSA, 美전역인터넷 75% 감시가능, 삭제불가능한모바일악성앱등장등이 8월의이슈가되었습니다. 공인인증서허가제서등록제로전환 8월 13일, 금지되는경우를제외하고원칙적으로공인인증기관지정을허용하는 네거티브규제방식 으로지정방식을전환하는 전자서명법 개정안을심의, 의결하였습니다. 이에따라, 공인인증서발급시장에경쟁체제가도입될것으로예상되며, 새로운기술에바탕을둔다양한인증수단이등장할것이라고예상하고있습니다. 금융회사의보안강화요구외면땐해킹보상못받는다 8월 15일, 전산보안강화에고객의책임을조정하는내용의전자금융거래법시행령개정안을입법예고해오는 11월시행에들어간다고밝혔습니다. 금융회사는금융사고를예방하기위하여사용자에게여러가지보안요구를하는데, 이에대하여정당한이유없이거부할경우, 이용자의고의, 중과실로추가규정되어해킹사고가발생하여금전적인손실을입더라도보상을받지못하게됩니다. 인터넷금융거래도중의해킹최근미리소비자들의컴퓨터를감염시키고, 인터넷뱅킹과정에서입력된보안카드번호를이용해자금을편취하는신종전자금융사기가적발되었습니다. 이방법은사용자를가짜은행홈페이지로유도하여보안카드번호전체를입력하도록하는이전방식과는다르게, 사용자가진짜홈페이지에접속하지만, 메모리에서입력값을탈취하는방법을사용했습니다. 을지연습중 6.25 변종악성코드발견을지연습이틀째, 지난 6.25 사이버테러때사용됐던분산서비스거부공격용악성코드가유포되는정황이포착되어조기에차단하였습니다. 이악성코드는키로깅, 화면캡쳐, 추가악성코드다운로드및실행등의기능을수행하는것으로, 6.25 사이버테러때사용되었던악성코드의변종으로확인되었습니다. 안드로이드마스터키취약점발견안드로이드마스터키에취약점이발견되었습니다. 이취약점은공격자가안드로이드설치파일을변조하여디지털서명을무효화하지않고도악성코드를정상적인안드로이드앱에삽입해실행할수있도록해주는것입니다. 이취약점을패치하려면펌웨어를최신으로업그레이드해야합니다. 페이지 15
NSA, 美전역인터넷 75% 감시가능미국국가안보국의정보수집프로그램이미국전체인터넷통신량의 75% 정도를감시할수있다고월스트리스저널이 21일보도하였습니다. 이는 CIA 전직원에드워드스노든의폭로로드러난 NSA 정보수집프로그램의감시능력이알려진것보다훨씬더광범위하단것을뜻하며, NSA는이프로그램과프리즘등을통하여온라인에서일어나는거의모든활동을추적할수있다고 WSJ가말했습니다. 삭제불가능한모바일악성앱등장안드로이드기기관리자권한을탈취한뒤자신을삭제하지못하도록방해하는악성앱이등장하였습니다. 해당악성앱은스미싱을통하여흔하게유포되는소액결제를노리는악성코드이지만, 올해 6월발견된 Obad 라고불리는악성앱의코드일부를차용하여, 앱이설치되면기기관리자권한을탈취한후, 기기관리자리스트상에서자신을숨겨사용자가기기관리자권한을컨트롤할수없고삭제가불가능하게하였습니다. 백신을설치하지않은사용자들은스마트폰을공장초기화하는것이외에직접삭제는불가능합니다. 페이지 16
2. 8 월의취약점이슈 Microsoft 8월정기보안업데이트 Internet Explorer 누적보안업데이트, Unicode Scripts Processor의취약점으로인한원격코드실행문제, Microsoft Exchange Server의취약점으로인한원격코드실행문제, 원격프로시저호출의취약점으로인한권한상승문제, Windows 커널의취약점으로인한권한상승문제해결등을포함한 Microsoft 8월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Internet Explorer 누적보안업데이트 (2862772) 이보안업데이트는 Internet Explorer의비공개적으로보고된취약점 11건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Unicode Scripts Processor의취약점으로인한원격코드실행문제점 (2850869) 이보안업데이트는비공개적으로보고된 Microsoft Windows의 Unicode Scripts Processor 취약점을해결합니다. 이취약점으로인해사용자가포함된 OpenType 글꼴을지원하는응용프로그램을사용하여특수하게조작된문서나웹페이지를볼경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Exchange Server 의취약점으로인한원격코드실행문제점 (2876063) 이보안업데이트는 Microsoft Exchange Server 에서발견되어공개적으로보고된취약점 3 건을해결합니다. Microsoft Exchange Server 의 WebReady 문서보기및데이터손실방 페이지 17
지기능에취약점이있습니다. 이취약점은사용자가 OWA(Outlook Web App) 를사용하여특수하게조작된파일을미리보는경우 Exchange 서버에있는코드변환서비스의보안컨텍스트에서원격코드를실행하도록허용할수있습니다. WebReady 문서보기에사용되는 Exchange에있는코드변환서비스는 LocalService 계정의자격증명을사용합니다. 데이터손실방지기능은특수하게조작된메시지가 Exchange 서버에서수신되는경우필터링관리서비스의보안컨텍스트에서원격코드를실행할수있게하는코드를호스팅합니다. Exchange의필터링관리서비스는 LocalService 계정의자격증명을사용합니다. LocalService 계정에는로컬시스템의최소권한이있으며네트워크에서익명자격증명을제시합니다. 원격프로시저호출의취약점으로인한권한상승문제점 (2849470) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해공격자가특수하게조작된 RPC 요청을전송할경우권한상승이허용될수있습니다. Windows 커널의취약점으로인한권한상승문제점 (2859537) 이보안업데이트는 Microsoft Windows의공개된취약점 1건과비공개로보고된취약점 3건을해결합니다. 가장위험한취약점으로인해공격자가시스템에로컬로특수하게조작한응용프로그램을실행할경우권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. Windows NAT 드라이버의취약점으로인한서비스거부문제점 (2849568) 이보안업데이트는 Microsoft Windows의 Windows NAT 드라이버에서발견되어비공개적으로보고된취약점을해결합니다. 이취약점으로인해공격자가특수하게조작된 ICMP 패킷을 Windows NAT 드라이버서비스를실행중인대상서버에전송할경우서비스거부가발생할수있습니다. ICMPv6의취약점으로인한서비스거부문제점 (2868623) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점은공격자가특수하게조작된 ICMP 패킷을대상시스템에전송할경우서비스거부를허용할수있습니다. Active Directory Federation Services의취약점으로인한정보유출문제점 (2873872) 이보안업데이트는비공개적으로보고된 AD FS(Active Directory Federation Services) 의취약점을해결합니다. 이취약점으로인해 AD FS에서사용하는서비스계정과관련된정보가노출될수있습니다. 공격자는이정보를통해기업네트워크외부에서로그온을시도할수있으며, 계정잠금정책이구성되어있을경우이로인해 AD FS에서사용하는서비스계정이잠길수있습니다. 서비스계정이잠기면 AD FS 인스턴스에의존하는모든 페이지 18
응용프로그램의서비스거부가발생합니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-aug 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-aug Microsoft 9월정기보안업데이트 Microsoft SharePoint Server의취약점으로인한원격코드실행문제, Microsoft Outlook의취약점으로인한원격코드실행문제, Internet Explorer 누적보안업데이트, OLE의취약점으로인한원격코드실행문제, Windows 테마파일의취약점으로인한원격코드실행문제, Microsoft Office의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 9월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Microsoft SharePoint Server의취약점으로인한원격코드실행문제점 (2834052) 이보안업데이트는 Microsoft Office Server 소프트웨어의공개된취약점 1건과비공개로보고된취약점 9건을해결합니다. 가장위험한취약점으로인해공격자가영향을받는서버로특수하게조작된콘텐츠를보내는경우 W3WP 서비스계정의컨텍스트에서원격코드실행이허용될수있습니다. Microsoft Outlook의취약점으로인한원격코드실행문제점 (2756473) 이보안업데이트는비공개적으로보고된 Microsoft Outlook의취약점을해결합니다. 이취약점으로인해사용자가영향을받는 Microsoft Outlook 에디션에서특수하게조작된전자메일메시지를열거나미리볼때원격코드가실행될수있습니다. 취약점악용에성공한공격자는로컬사용자와동일한권한을얻을수있습니다. 시스템에대한사용자 페이지 19
권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적 게받습니다. Internet Explorer 누적보안업데이트 (2870699) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 10건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. OLE의취약점으로인한원격코드실행문제점 (2876217) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된 OLE 개체를포함하는파일을열경우원격코드가실행될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 테마파일의취약점으로인한원격코드실행문제점 (2864063) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가시스템에특수하게조작된테마를적용하면원격코드가실행될수있습니다. 공격에성공하려면사용자가파일을열거나테마를적용하도록유도해야하며, 이는어떠한경우에도강제로실행되지않습니다. Microsoft Office의취약점으로인한원격코드실행문제점 (2845537) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 13건을해결합니다. 가장위험한취약점으로인해영향을받는 Microsoft Office 소프트웨어버전에서특수하게조작된파일을열경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Excel의취약점으로인한원격코드실행문제점 (2858300) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 3건을해결합니다. 가장위험한취약점으로인해사용자가영향을받는 Microsoft Excel 버전또는영향을받는기타 Microsoft Office 소프트웨어에서특수하게조작된 Office 파일을열경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 페이지 20
Microsoft Access의취약점으로인한원격코드실행문제점 (2848637) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 3건을해결합니다. 이러한취약점으로인해사용자가영향을받는 Microsoft Access 버전으로특수하게조작된 Access 파일을열경우원격코드실행이허용될수있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Office IME( 중국어 ) 의취약점으로인한권한상승문제점 (2878687) 이보안업데이트는비공개적으로보고된 Microsoft Office IME( 중국어 ) 의취약점을해결합니다. 이취약점으로인해로그온한공격자가 Microsoft Pinyin IME( 중국어간체 ) 의도구모음에서 Internet Explorer를실행한경우권한이상승될수있습니다. 이취약점악용에성공한공격자는커널모드에서임의코드를실행할수있습니다. 이렇게되면공격자가프로그램을설치할수있을뿐아니라데이터를보거나변경하거나삭제할수있고전체관리자권한이있는새계정을만들수도있습니다. Microsoft Pinyin IME 2010 구현만이취약점의영향을받습니다. 다른버전의중국어간체 IME 및기타 IME 구현은영향을받지않습니다. 커널모드드라이버의취약점으로인한권한상승문제점 (2876315) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 7건을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. Windows 서비스제어관리자의취약점으로인한권한상승문제점 (2872339) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점은인증된공격자가사용자를특수하게조작된응용프로그램을실행하도록유도하여권한이상승되게할수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을갖고있고로컬로로그온할수있거나, 공격자가특수하게조작한응용프로그램을실행하도록사용자를유도해야합니다. FrontPage의취약점으로인한정보유출문제점 (2825621) 이보안업데이트는비공개적으로보고된 Microsoft FrontPage의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된 FrontPage 문서를열경우정보유출이발생할수있습니다. 이취약점은자동으로악용될수없기때문에공격이성공하려면공격자는사용자가특수하게조작된문서를열도록유도해야합니다. Active Directory 의취약점으로인한서비스거부문제점 (2853587) 페이지 21
이보안업데이트는 Active Directory 에서발견되어비공개적으로보고된취약점 1 건을해 결합니다. 이취약점으로인해공격자가특수하게조작된쿼리를 LDAP(Lightweight Directory Access Protocol) 서비스에보낼경우서비스거부가발생할수있습니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-sep 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-sep 안드로이드마스터키취약점보안업데이트권고삼성, LG 등스마트폰에탑재되는안드로이드에서마스터키 (CVE-2013-4787) 취약점이발견되었음. 공격자는안드로이드설치파일 (apk) 을변조하여디지털서명을무효화하지않고도악성코드를정상적인안드로이드앱에삽입하여실행가능함. < 해당제품 > 안드로이드 1.6(Donut) 부터 4.2(Jelly Bean) 의버전 < 해결방법 > 낮은안드로이드버전의사용자는악성코드감염에취약할수있으므로해결방안에따라 최신버전으로업그레이드권고 안드로이드 1.6(Donut) 부터 4.2(Jelly Bean) 의버전사용자 제조사별펌웨어업그레이드프로그램을통해최신펌웨어로업그레이드 삼성전자펌웨어업그레이드프로그램 (Samsung Kies) 다운로드경로 : http://www.samsung.com/sec/support/pcapplication/kies 취약점이패치된모델 Galaxy S4, Galaxy S4 LTE-A, Galaxy Mega ( 취약점기패치되어출시됨 ) Galaxy S2, Galaxy S2 LTE, Galaxy S2 HD Galaxy S3, Galaxy S3 LTE Galaxy Note, Galaxy Note 2, Galaxy Note 8, Galaxy Note 10.1 Galaxy Tab 7.7, Galaxy Tab 8.9 Galaxy R, Galaxy POP, Galaxy Grand 페이지 22
LG전자펌웨어업그레이드프로그램 (LG Mobile Support Tool) 다운로드경로 : http://www.lgmobile.co.kr/lgmobile/front/download/retrievedownloadmain.dev 취약점이패치된모델 LG G2 LG Optimus G/Gpro LG Optimus Vu/Vu2 LG Optimus LTE2 팬텍펌웨어업그레이드경로 : http://www.vegaservice.co.kr/down/self/main.sky 취약점이패치된모델 VEGA Racer 2 (IM-A830S, IM-A830K, IM-A830L) VEGA S5 (IM-A840S) VEGA R3 (IM-A850S, IM-A850K, IM-A850L) VEGA N6 (IM-A860S, IM-A860K) VEGA IRON (IM-A870S, IM-A870K, IM-A870L) VEGA LTE A (IM-A880S) < 권고사항 > - 확인되지않는문자에포함된링크는절대클릭말고즉시삭제 - 스마트폰이용자 10 대안전수칙 에따라스마트폰을사용 스마트폰이용자 10대안전수칙 1. 의심스러운애플리케이션다운로드하지않기 2. 신뢰할수없는사이트방문하지않기 3. 발신인이불명확하거나의심스러운메세지및메일삭제하기 4. 비밀번호설정기능을이용하고정기적으로비밀번호변경하기 5. 블루투스기능등무선인터페이스는사용시에만켜놓기 6. 이상증상이지속될경우악성코드감염여부확인하기 7. 다운로드한파일은바이러스유무를검사한후사용하기 8. PC에도백신프로그램을설치하고정기적으로바이러스검사하기 9. 스마트폰플랫폼의구조를임의로변경하기않기 10. 운영체제및백신프로그램을항상최신버전으로업데이트하기 < 참고사이트 > http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key http://web.nvd.nist.gov/view/vuln/detail?vulnid=cve-2013-4787 페이지 23
Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr 페이지 24