언젠가 되고 말테닷~~!!

                            ======= 보안 공지 ========

* Windows 패치 :

                 MS09-054     Internet Explorer 누적 보안 업데이트

                Internet Explorer가 데이터 스트림 헤더를 처리하고, 인수 유효성을 검사하고,

                메모리의 개체를 처리하는 방식을 수정하여 이러한 취약점을 해결합니다.

                 MS09-056     Windows CryptoAPI의 취약점으로 인한 스푸핑 허용 문제점

                이 보안 업데이트는 null 종결자가 포함된 인증서 이름을 거부하고 ASN.1 개체

                식별자의 유효성을 올바르게 검사하도록 CryptoAPI를 수정하여 취약점을

                해결합니다.

                 MS09-058     Windows 커널의 취약점으로 인한 권한 상승 문제점

                이 보안 업데이트는 Windows 커널이 64비트 값을 올바르게 자르고,

                실행 파일 내에서 데이터의 유효성을 올바르게 검사하며, 오류 상태에서 예외를

                정리하도록 하여 취약점을 해결합니다.

                 MS09-059     로컬 보안 기관 하위 시스템 서비스의 취약점으로 인한 서비스 거부 문제점

                NTLM 인증 프로세스 중에 공격자가 악의적으로 조작된 패킷을 보낼 경우

                이 취약점으로 인해 서비스 거부가 발생할 수 있습니다.

                이 보안 업데이트는 인증 프로세스에서 사용되는 특정 값 집합에 대한 추가

                유효성 검사를 구현하여 취약점을 해결합니다.

                 MS09-052     Windows Media Player의 취약점으로 인한 원격 코드 실행 문제점

                이 보안 업데이트는 Windows Media Player 6.4가 특수하게 조작된 ASF 파일을

                처리하는 방식을 수정하여 취약점을 해결합니다.

                 MS09-053     IIS(인터넷 정보 서비스) FTP 서비스의 취약점으로 인한 원격 코드

                이 취약점으로 인해 IIS 5.0에서 FTP 서비스를 실행하고 있는 시스템에 원격 코드

                실행(RCE)이 발생하거나 IIS 5.0, IIS 5.1, IIS 6.0 또는 IIS 7.0에서 FTP 서비스를 실행

                하고 있는 시스템에 서비스 거부(DoS)가 발생할 수 있습니다.

                이 보안 업데이트는 FTP 서비스에서 목록 작업을 처리하는 방식을 수정하여 취약점

                을 해결합니다.

                 MS09-055     ActiveX 킬(Kill) 비트 누적 보안 업데이트

                취약한 버전의 Microsoft ATL(액티브 템플릿 라이브러리)을 사용하여

                컴파일된 ActiveX 컨트롤에 영향을 주는 취약점으로 인해

                사용자가 Internet Explorer로 ActiveX 컨트롤을 인스턴스화하는 특수하게

                조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다.

                보안 업데이트는 취약한 컨트롤이 Internet Explorer에서 실행되지 않도록

                킬(Kill) 비트를 설정함으로써 취약점을 해결합니다.

                 MS09-057      인덱싱 서비스의 취약점으로 인한 원격 코드 실행 문제

                이 취약점으로 인해 공격자가 ActiveX 구성 요소에 대한 호출을 통해 인덱싱 서비스

                를 실행하는 악의적인 웹 페이지를 설정할 경우 원격 코드 실행을 허용할 수 있습니다.

                이 호출은 악의적인 URL을 포함할 수 있으며, 취약점을 악용하여 웹 페이지를 검색하는

                사용자의 권한으로 클라이언트 시스템에 액세스할 수 있는 권한을 공격자에게 부여 합니다.

                이 보안 업데이트는 인덱싱 서비스 ActiveX 컨트롤이 URL을 처리하는 방식을

                수정하여 취약점을 해결합니다.

======= 보안 공지 ========

 * Windows 패치 :   - MS09-046     DHTML Editing Component ActiveX 컨트롤의 취약점으로 인한

                                                  원격 코드 실행 문제점

                                                 DHTML Editing Component ActiveX 컨트롤에서 발견되어
                                                 비공개적으로 보고된 취약점 1건을 해결합니다.

                                                 공격자는 특수하게 조작된 웹 페이지를 구성하여 이러한 취약점을
                                                 악용할 수 있습니다.

                                                 사용자가 해당 웹 페이지를 볼 경우 취약점으로 인해 원격 코드 
                                                 실행이 허용될 수 있습니다.

                                                 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을
                                                 얻을 수 있습니다.

                                                 이 보안 업데이트는 ActiveX 컨트롤의 HTML 태그 서식 지정 방식을
                                                 수정하여 취약점을 제거합니다.

                             - MS09-047     Windows Media Format의 취약점으로 인한 원격 코드 실행 문제점

                                                             
                                                 이 보안 업데이트는 Windows Media Format Runtime의 ASF
                                                (Advanced Systems Format) 파일 및 MP3(MPEG-1 Audio Layer 3)
                                                 파일 구문 분석 방식을 수정하여 취약점을 해결합니다.

보안업체 메일 수신분..
참고하실분은 참고 바람.

7일과 8일에 국내와 미국에 발생한 DDoS공격 관련 정보 및 Hotfix가 있어 전달 드리오니 참고하여 주시기 바랍니다.

DDoS(Distributed Denial of Service)에 대해 간단히 말씀드리면 악성 프로그램으로 인해 내 컴퓨터가 쥐도 새도 모르게 타인의 좀비가 되어 특정일자(Zero Day)에 특정 목표(웹사이트 등)로 다른 좀비컴퓨터와 함께 일제히 공격을 시도하는 해킹방법입니다.

자세한 내용은 아래를 참고 하여 주시기 바랍니다.

[DDoS란?]

n  복수의 네트워크에 분산되어 있는 대량의 컴퓨터가 일제히 특정의 서버에 패킷(packet)를 송출해서, 통신로를 넘쳐나게 하여 기능을 정지 시켜버리게 하는 공격을 의미합니다.

n  실제로 패킷을 보내는(공격을 실행하는) 컴퓨터의 관리자나 이용자에게 공격의 의도가 없으나, 외부의 악의를 갖은 제 3자(cracker)에게 컴퓨터를 조종 당해서, 이용자도 모르는 사이에 서버의 공격을 감행 하도록 하는 것이 특징입니다.

n  Cracker는 공격 대상과는 무관계인 다수의 컴퓨터로 침입을 해서, 사용자가 모르게끔 공격 실행용의 프로그램(트로이의 목마)를 몰래 설치 하도록 계획하며, 공격을 개시하는 때에는 미리 계획했던 트로이의 목마에 대해서, 일제히 패킷의 송출 명령을 발신합니다.

n  표적이 된 서버에는 트로이의 목마가 설치 된 컴퓨터로부터 패킷을 받기 때문에, 공격을 당하는 서버는 실제의 공격원인「배후 인물」에 해당하는 컴퓨터를 찾아내는 것이 어렵습니다.

 [관련정보]

n  공격을 수행한 악성코드는 파일명 ‘msiexec2.exe(파일길이 : 33,841 바이트)’으로 V3 진단명은  ‘Win-Trojan/Agent.33841’입니다.

n  이 파일은 실행될 때 ‘uregvs.nls’ 파일을 생성하며, 이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다고 합니다.

 [감염PC 스캔,치료,예방]

n  아래 방법들을 이용하여 스캔, 치료 및 예방하실 수 있습니다.

1)     하우리 msiexec2.exe 전용스캔,치료
http://hauri.co.kr/customer/download/vaccine_view.html?uid=69&page=1

2)     INCA nProtect Removal Tool
http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=279

3)     MS원격 코드 실행을 허용할 Microsoft 비디오 ActiveX 컨트롤 FIX사이트
(Windows XP 또는 Windows Server 2003을 사용하시는 분들은 바로 적용 권장)

http://support.microsoft.com/kb/972890

4)     NSHC MS SirectShow (msvidctl.dll)취약점 보안패치- Zero Day Attack방지
http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626

5)     네이버PC그린설치하여 치료
http://security.naver.com/info/emergency.nhn

 [참고자료]

n  Microsoft Security Advisory: Vulnerability in Microsoft Video ActiveX control could allow remote code execution

http://support.microsoft.com/kb/972890

n  Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/972890.mspx

출처 : 어베스트 코리아

최근 구글 검색 엔진을 통해 검색한 결과 링크를 이용하는 새로운 형태의 공격이 출현했습니다. 이러한 형태는 어베스트!에서 이미 진단하여 처리하고 있습니다만, 사용자들의 이해를 돕기 위해 공격 형태 및 방법에 대한 세부 자료를 공개합니다.

아래 그림은 구글의 검색 엔진에서 특정한 단어를 검색한 화면입니다.

구글이 보여 주는 링크는 긴 경우에는 짧게 보여주게 되므로 코드의 일부가 보이지 않게 됩니다. 공격코드는 ID=0 뒤에 나타나는 것으로 통상적으로 SQL 인젝션 공격 코드입니다.

즉, display.php 파일 자체에는 악성 코드가 삽입되어 있지 않으며, 구글에서 링크를 클릭하는 순간에 삽입되게 됩니다.

아래 화면은 구글의 링크에서 생략된 코드 값이 삽입된 HTML 코드입니다. 이 코드는 서버에 저장되지 않기 때문에 서버에서는 이 코드를 찾을 수 없습니다. HTML 코드 내에는 일부 키워드가 포함되어 있고 악성 코드 배포 서버로 연결하는 링크가 포함되어 있습니다.

아래 화면은 악성코드 배포 서버로부터 리디렉터션 스크립트를 로드하기 위한 HTML 코드입니다. 브라우저에 스크립트가 실행되는 순간 감염이 진행됩니다.

특징:

• SQL 인젝션 공격에 취약한 웹사이트에 링크를 연결하여 이를 검색 엔진에 등록.
• SQL 인젝션 공격에 취약한 웹사이트에는 영향을 미치지 않고, 구글에서 사용자가 링크를 클릭하는 순간에 코드가 삽입.
• 인터넷 상에 악성 코드를 저장하는 새로운 방식으로 출현 – 검색 엔진 데이터베이스에 저장.
• 최근 구글 검색엔진에서는 이러한 URL 코드가 삽입된 레코드 제거
• 마이크로소프트의 최신 검색 엔진인 BING에서도 동일하게 영향을 미치고 있으며 현재에도 악성 링크를 여전히 제공하고 있음.

해당 OS: WindowsXP Home, windowsXP Pro 환경

증상: XP환경에서 작업그룹을 통해 해당 컴퓨터 더블클릭 시 “컴퓨터 이름에 액세스 없는 것 같습니다. 이 서버의 관리자에게 문의하여 액세스 권한이 있는지 확인하십시오. 액세스가 거부되었습니다.” 라는 확인 창이 뜨는 경우

증상원인 : 사용자 계정 문제와 보안 업데이트 후 LSA값이 변경되어서 발생한 문제.

조치 방법 : 다음 레지스트리 값 변경

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 의

Restrictanonymous 값을 0으로 변경 후 재 시작 한다.

재부팅 후 값이 1로 원복 되는 증상 발생 시 (WindowsXP Pro 만 해당)

레지스트리 다시 수정 후 제어판-> 관리도구-> 로컬보안정책-> 로컬정책-> 사용자권한할당-> 네트워크 에서 이컴퓨터 액세스거부 항목에서 Guest 등록이 되어 있으면 삭제 후 재부팅.

Windows 계열의 운영체제는 다중 사용자 기능 등 여러 가지 편리한 기능을 제공하지만 이는 보안이라는 측면에서는 그리 좋은 기능들만은 아니다. 그래서 MS는 Windows NT/2000/XP에서 FAT뿐만 아니라 NTFS라는 것을 사용하여 기존의 Windows 9X에서 구현하기 어려웠던 사용자 권한 설정/암호화 등 여러 가지 보안요소를 구현하고 있다.

그러나 일반 사용자들은 응용프로그램이나 기타 다른 요소와의 호환성 때문에 대부분 FAT을 사용할 것이고 NTFS를 사용하더라도 NTFS에서 구현되는 보안기능을 제대로 사용하는 사용자는 많지 않을 것이다.

이번에는 NTFS에 대해 간단하게 알아보고 Windows 2000에 초점을 맞춰 NTFS에서 구현되는 보안의 일부인 관리자 입장에서 권한할당 시 생길 수 있는 보안상의 문제점과 해결방안에 대해 알아보도록 하자.

1. NTFS(New Technology File System)의 장점

- 디스크 공간의 효율적 사용 : 아래 표에서 보는 것과 같이 NTFS는 클러스터 크기가 더 작고 남은 클러스터 공간에 다른 파일을 저장할 수 있기 때문에 공간 효율성에서 FAT16/FAT32보다 좋다.
- NTFS 퍼미션 : NTFS는 파일, 폴더, 드라이브 그리고 사용자, 그룹단위로 권한을 설정할 수 있다.
- 파일 시스템의 암호화 : 윈도우 2000/XP에서 사용하는 파일에 대한 암호화 기법은 MS에서 운영체제 자체에 암호화 기법을 이식한 것이다. 이는 각각 독립적으로 파일에 암호를 설정하거나 폴더 전체에 암호를 설정할 수 있다.

참고 : FAT32 사용자라면 아래 그림과 같이 하면 데이터를 살리면서 NTFS로 변경할 수 있다.

2. 권한부분에서 발생할 수 있는 문제점

Windows 2000을 NTFS로 사용할 때 c:(system root 폴더)에 대해 기본적으로 Everyone Group에 모든 권한(F/C)이 설정되어 있는데, 설정이 복잡하다는 이유로 그대로 사용하는 경우가 많을 것이다.

특 히 다중 사용자 환경이나 네트워크 환경이라면 권한문제는 민감한 보안문제 중 하나로, 만약 사용자들 중에 악의적인 사용자가 있다면 %systemroot% 나 중요한 문서가 저장되어 있는 폴더에 액세스하여 삭제/변조가 가능할 뿐만 아니라 시스템의 중요한 부분인 레지스트리나 보안설정사항을 임의로 변경하여 시스템 손상 등, 보안상 많은 문제가 발생할 수 있다.

또한 가장 큰 위험성은 악의적인 사용자에 의해 아래 시나리오에 설명되어 있는 공격이 가해질 수도 있다는 것이다.

공 격자는 동일한 시스템의 다른 사용자들을 공격하기 위해 시스템에서 공동으로 사용되는 프로그램의 파일명으로 위장한 파일을 시스템 루트에 생성한다. 그렇게 함으로써 다른 사용자가 로그 온하면 트로이 목마를 실행하도록 한다거나, 레지스트리 변경을 통해 로그 온한 사용자가 어떤 프로그램을 실행하는 지와 상관 없이 트로이 목마가 실행되게 할 수 있다.

다른 공격 시나리오를 살펴보자. 공격자가 시스템의 특정 프로그램이 사용자가 시스템에 로그 온할 때 로그 온 스크립트에 의해 실행된다는 것을 알았을 경우, 공격자는 로그 온 스크립트에 의해 실행되어지는 프로그램과 동일한 파일명을 가진 트로이 목마 프로그램을 생성한 후 다음에 누군가가 시스템에 로그 온 할 때 로그 온 스크립트에 의해 트로이 목마가 실행되도록 할 수 있다.

3. NTFS 퍼미션을 사용하라.

NTFS 퍼미션은 운영체제의 파일, 폴더, 드라이브들의 접근에 대한 제어를 제공하고, 제 3자 업체 제공 유틸리티의 사용을 못하게 할 수도 있다. 다음과 같이 NTFS 퍼미션을 설정하면 관리하기가 편리하다.

(1) 권한할당하기
□ 사용자에게 권한을 허가하지 말고 그룹단위로 묶어 권한을 부여하라
사용자가 소수일 경우는 사용자 단위로 적절한 권한을 부여할 수 있겠지만 관리해야할 규모가 커진다면, 각각을 사용자 단위에서 관리하는 것은 매우 많은 중복 작업을 해야 하므로 관리적인 면에서 오버헤드가 발생한다.

사용자 또는 그룹에 관리 권한을 부여할 때는 관리자마다 설정 기준에 차이가 있지만 아래를 참고하면 권한을 설정할 때 도움이 될 것이다.

▷ Windows 2000 / Windows XP 권장 권한

- Administrators : 모든 권한
- Authenticated Users 또는 Everyone : 읽기
- Creator Owner : 모든 권한
- system : 모든 권한

□ 상속 기능을 이용하라
기 본값으로 파일과 폴더는 그 상위 디렉토리의 권한을 상속받는다. 예를 들어서 사용자들에게 c:\를 읽기 권한으로 설정해 놓는다면, 그 하위 디렉토리는 전부 퍼미션이 읽기 권한으로 상속되게 된다. 참고사항으로 특정파일이나 디렉토리에 대한 퍼미션을 미리 설정해 놓았을 경우에는 앞의 경우에서 처럼 읽기 권한으로 상속되지 않는다.

세부 퍼미션의 수정방법은 다음과 같은 과정을 수행해야한다.

① 파일, 폴더, 혹은 드라이브를 선택하고 등록정보를 선택한다.
②등록정보 대화상자에서 보안탭을 선택한다
③고급 버튼 클릭한다.
④접근 제어 설정 대화상자에서 수정하고 싶은 사항에 대한 퍼미션을 선택하고, 보기/편집버튼을 클릭한다. Windows 2000은 다음과 같은 퍼미션 대화상자를 보여준다.

(2) 감사정책을 설정하라

감사는 잠재적인 보안 문제를 막지는 못한다. 그러나 로그 파일 등을 통해 수집된 정보들은 어떤 일이 일어났는지를 알 수 있게 한다. 감사는 시스템에 대한 보안을 관리한다는 점에서 아주 중요한 것 중의 하나이다.

그 이유는 감사를 통해서 이전에 어떤 일이 발생했는지를 알 수 있고, 그로 인해 어떤 방법을 통해 해킹이 시도되었는지, 또는 해킹이 되었다면 어디에서 해킹을 하였는지 등을 찾아내는 정보를 제공한다. 윈도우 2000 시스템에서는 인증과 위임에 추가적으로 시스템 관리자가 이벤트를 감시하고, 제한할 수 있는 툴들을 제공한다.

각 로그는 물리적으로 존재하는 데이터를 저장한 파일이다. 기본적으로 모든 로그 파일들은 %systemroot%system32\config 디렉토리에 위치하게 된다.

1) 감사정책 설정

[제어판 - 관리도구 - 로컬 보안 정책]에서 설정한다.

2) 자원 감사

자 원 접근 감사를 사용하기 위해 자원 에 대해서 SACL(System Access Control List)을 설정해야 한다. SACL은 파일, 프린터, 디렉토리 등 자원의 감사 등록정보에서 그 사항에 관해 설정할 수 있다. 자원을 선택하고, 오른쪽 버튼을 누른 후, [등록정보 - 보안 - 고급 - 감사]를 선택하면 된다. 아래 그림은 파일이나 폴더의 감사 등록정보에 설정하는 것을 나타낸다.

3) 이벤트 뷰어로 관리하기

이 벤트 뷰어는 이벤트 로깅 서비스와 통신해서 수집된 로그 데이터를 보여준다. 그것은 로컬 컴퓨터에서 로그 정보를 볼 수 있거나, 원격에서 네트워크를 통해 로그인 한 후 로그를 볼 수 있다. 이것은 몇 가지 장점을 가진다. 그것이 의미하는 바는 로그 정보를 모으기 위해 각각의 컴퓨터에 일일이 찾아가서 로그인하여 그 로그 정보를 볼 필요가 없고, 한 컴퓨터 앞에 앉아서 다른 컴퓨터로 접속하여 그 로그 정보를 읽어올 수 있다는 것을 의미한다.

[제어판 - 관리도구 - 이벤트 뷰어]를 사용할 수 있다.

▲ 로그 파일 크기 설정(각 로그의 등록정보에서 설정할 수 있다.)