시만텍, 5월 마이크로소프트 보안 취약점 관련 경고
마이크로소프트 익스체인지의 원격 코드 실행 취약점
시만텍 보안 연구소는 마이크로소프트 익스체인지에서 발견된 취약점이 금번 5월 보안 공지에서 높은 위험성을 가진 것으로 평가했다. 이 원격 코드 실행 취약점은 마이크로소프트 익스체인지 서버 2000/2003/2007에서 전자 서명 등 암호화된 메시지들을 해독하는 장치인 MIME (Multipurpose Internet Mail Extensions)에 영향을 미친다. 특히, 이 취약점은 base 64 방식으로 암호화된 악의적 의도의 첨부 파일에 의해 촉발될 수 있다.
이 공격은 익스체인지 서버 사용자가 악의적 의도로 만들어진 첨부 파일을 열어야만 성공할 수 있다. 이 공격이 성공할 경우 취약한 익스체인지 서버를 가진 컴퓨터를 완전히 장악해 잠재적으로는 더 많은 수의 사용자에게 피해를 줄 수 있다.
윈도우 인터넷 익스플로러의 원격 코드 실행 취약점
마이크로소프트는 5월 보안 공지에는 인터넷 익스플로러의 5가지 취약점이 포함되어 있다. 이 취약점 중 4가지는 긴급, 1가지는 중요 취약점으로 분류됐다. 이 중 속성 메모리 손상 취약점 및 HTML 개체 메모리 손상 취약점은 클라이언트 레벨의 코드 실행 취약점으로, 각각 인터넷 익스플로러 6.0와 7.0버전에 영향을 미친다. 또한 이 두 취약점은 모두 비스타에 설치된 인터넷 익스플로러 7.0에도 영향을 준다.
이 취약점들은 사용자가 악성 웹 사이트에 접속할 경우 공격 받을 수 있다. 이 경우 공격자는 해당 취약점을 이용해 현재 로그인된 사용자 환경에 임의의 코드를 실행시키게 된다.
윈도우 DNS 서버의 RPC 인터페이스의 제로-데이 취약점
마이크로소프트는 윈도우 DNS 서버의 RPC 인터페이스에 존재하는 제로-데이 취약점에 관한 패치도 함께 발표했다. RPC는 소프트웨어가 네트워크를 통해 처리 요청을 받을 때 이용되는 프로토콜로, 이 취약점은 2007년 4월에 발견됐다. 이 원격 코드 실행 취약점은 윈도우 2000, 윈도우 서버 2003과 같은 서버 레벨의 운영 시스템이 도메인 컨트롤러, DNS 서버, Microsoft Small Business Server와 같은 DNS 서버의 서비스를 활성화시켜놓은 경우에만 영향을 미친다. 그러나 이미 이 취약점에 대한 공격이 이루어지고 있는 상황이므로 기업은 시스템 패치 업데이트를 반드시 실행해야 한다. 이 공격은 성공할 경우 해당 컴퓨터를 완전히 장악할 수 있게 된다.
시만텍 보안 연구소의 올리버 프리드리히(Oliver Friedrichs) 수석 이사는 “최신 ‘인터넷 보안 위협 보고서’를 통해 발표했듯, 공격자들은 계속해서 브라우저, 애플리케이션 취약점 및 인간의 심리를 교묘하게 이용한 방법으로 컴퓨터 접근을 시도해 악성 코드를 실행하려고 한다”고 지적하면서 “이번에 발표된 취약점들은 이러한 시만텍의 분석을 다시 한 번 증명하는 것이다. 사용자들이 최신 패치를 업데이트하고, 인터넷에 접속할 때 보다 주의를 기울이고, 포괄적인 보안 제품을 사용하는 것이 무엇보다 중요하다”고 말했다.
시만텍은 기업들에게 다음과 같은 방지책을 권고한다.
· 이러한 취약점이 주요 시스템에 미칠 가능성이 있는 악영향을 측정한다.
· 패치 설치 및 적절한 보안 솔루션을 사용한 베스트 프랙티스를 포함, 사전에 필요한 대응방안을 마련한다.
· 정보 및 네트워크의 통합성을 보호하기 위해 능동적으로 움직인다.
· 적절한 데이터 백업 프로세스 및 안전 장치가 정확하고 효율적으로 이루어지고 있는지 확인한다.
· 시스템 사용자들이 모든 미확인 이메일 첨부 파일 및 검증되지 않는 소스로부터의 웹 링크 클릭에 유의하도록 상기시킨다.
또한 시만텍은 개인 사용자에게 다음과 같은 사항을 따를 것을 권고한다.
· 소프트웨어를 최신 상태로 유지하기 위해 정기적으로 윈도우즈를 업데이트하고 최신의 보안 업데이트를 설치한다.
· 알 수 없는 첨부파일이나 첨부 이메일을 열거나, 검증되지 않은 소스나 알 수 없는 웹 링크의 클릭은 피한다.
· 현재 및 향후에 발생 가능한 위협에 대비해 ‘Norton Internet Security 2007 (노턴 인터넷 시큐리티 2007)’과 같은 인터넷 통합 보안 솔루션을 사용한다.
보다 자세한 정보는 아래 웹사이트에서 제공된다.
http://www.microsoft.com/korea/technet/security/bulletin/ms07-may.mspx
시만텍 보안 연구소는 계속해서 이번 위협을 모니터링 및 분석해 고객들에게 알리고 필요한 업데이트 및 보안 컨텐츠를 제공할 예정이다.