2010-04-14
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
4월 MS 정기보안업데이트가 발표되었으니, 조속히 패치하시기 바랍니다.
문의 : 02-6925-5044
담당자 : 김봉기 대리
[MS10-019] Windows Authenticode Verification 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o PE(Portable executable) 또는 cabinet file을 처리할 때 사용되는 Windows Authenticode
Signature Verification 함수 내에 원격코드 실행 가능한 취약점 존재
※ cabinet file(.cab) : 여러 개의 압축된 파일들을 수용할 수 있도록 Microsoft에서 지원하는
파일 형식. 프로그램이 설치되는 중에 캐피닛 내에 있는 파일들을 앞축이 풀리면서 사용자가
지정한 디렉토리에 적절히 복사됨
o 공격자는 존재하는 서명된 실행파일을 조작, 악성코드를 추가하여 원격 공격이 가능하고, 공격이
성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- WinVerifyTrust Signature Validation Vulnerability - CVE-2010-0486
- Cabview Corruption Validation Vulnerability - CVE-2010-0487
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-019.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-019.mspx
[MS10-020] SMB Client 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 공격자가 특별히 조작된 SMB 서버로 사용자의 연결을 유도시켜, client-initiated SMB request
요청에 조작된 SMB response를 보낼 경우, 원격 코드가 실행될 수 있는 취약점 존재
※ SMB(Server Message Block) : 네트워크로 연결된 컴퓨터가 다양한 네트워크에 걸쳐 있는
원격 시스템에 있는 파일에 액세스할 수 있도록 설계된 파일 공유 서비스
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- SMB Client Incomplete Response Vulnerability - CVE-2009-3676
- SMB Client Memory Allocation Vulnerability - CVE-2010-0269
- SMB Client Transaction Vulnerability - CVE-2010-0270
- SMB Client Response Parsing Vulnerability - CVE-2010-0476
- SMB Client Message Size Vulnerability - CVE-2010-0477
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-020.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-020.mspx
[MS10-021] Windows Kernel 취약점으로 인한 권한 상승 문제
□ 영향
o 공격자가 영향 받는 시스템을 서비스 거부상태로 만들거나 시스템에 대한 완전한 권한 획득
□ 설명
o 로컬의 시스템에 접근 권한이 있는 공격자가 로컬머신에 정당한 방법으로 로그인해서 특별히
제작된 어플리케이션(시스템을 무응답상태로 빠트리거나, 재시작)을 실행시킬 경우, 서비스 거부
또는 권한을 상승시켜 주는 취약점이 Windows Kernel에 존재
o 공격이 성공하면 공격자는 영향 받는 시스템을 서비스 거부상태로 만들거나 완전한 권한 획득가능
o 관련취약점 :
- Windows Kernel Null Pointer Vulnerability - CVE-2010-0234
- Windows Kernel Symbolic Link Value Vulnerability - CVE-2010-0235
- Windows Kernel Memory Allocation Vulnerability - CVE-2010-0236
- Windows Kernel Symbolic Link Creation Vulnerability - CVE-2010-0237
- Windows Kernel Registry Key Vulnerability - CVE-2010-0238
- Windows Virtual Path Parsing Vulnerability - CVE-2010-0481
- Windows Kernel Malformed Image Vulnerability - CVE-2010-0482
- Windows Kernel Exception Handler Vulnerability - CVE-2010-0810
o 영향 : 서비스 거부 및 권한상승
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista
- Windows Vista Service Pack 1 and Windows Vista Service Pack 2
- Windows Vista x64 Edition
- Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service
Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-021.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-021.mspx
[MS10-022] VBScript Scripting Engine 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Internet Explorer를 사용할 때 VBScript가 Windows Help files 과 상호 동작하는 방식의
문제로 인해 임의의 원격코드가 실행될 수 있는 취약점 존재
o 공격자는 스팸메일이나 메신저의 링크를 통해 특수하게 조작된 콘텐츠로 구성된 악의적인
웹사이트에 방문 후 사용자로 하여금 F1키를 누르도록 유도하여, 해당 사용자의 권한으로
원격코드 실행이 가능함
※ 대화상자가 팝업 되었을 때 F1키를 누르지 않는 경우, 공격이 성공하지 않음
o 관련취약점 :
- VBScript Help Keypress Vulnerability - CVE-2010-0483
o 영향 : 원격코드실행
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-022.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-022.mspx
[MS10-023] Microsoft Office Publisher 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 조작된 Publisher 파일을 이메일에 첨부하거나 감염 또는 조작된 웹사이트로 사용자를 유도하여
조작된 Publisher 파일을 열게 함으로써 임의의 원격코드가 실행될 수 있는 Microsoft Office
Publisher의 취약점이 존재
※ Microsoft Office Publisher : 홍보 마케팅과 같은 전문적인 문서를 손쉽게 공유, 인쇄 및
출판할 수 있도록 해주는 오피스 프로그램
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Microsoft Office Publisher File Conversion TextBox Processing Buffer Overflow
Vulnerability - CVE-2010-0479
o 영향 : 원격코드실행
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Office XP Service Pack 3
- Microsoft Office 2003 Service Pack 3
- 2007 Microsoft Office System Service Pack 1
- 2007 Microsoft Office System Service Pack 2
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-023.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-023.mspx
[MS10-024] Microsoft Exchange & Windows SMTP Service 취약점으로 인한
서비스 거부 문제
□ 영향
o 공격자가 영향 받는 시스템을 정지시켜 서비스 거부 상태로 만듬
□ 설명
o 공격자가 SMTP가 운영 중인 컴퓨터에 특별히 조작된 DNS 응답 패킷(DNS Mail Exchanger
(MX)리소스 레코드)을 보낼 경우, Microsoft Exchange and Windows SMTP Service를
정지시켜 서비스 거부 상태로 만들 수 있는 취약점 존재
※ Microsoft Exchange and Windows SMTP Service : Microsoft에서 제공하는 email,
calender, 주소록 관련 서비스
o 관련취약점 :
- SMTP Server MX Record Vulnerability - CVE-2010-0024
- SMTP Memory Allocation Vulnerability - CVE-2010-0025
o 영향 : 서비스 거부
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 R2 for x64-based Systems
- Microsoft Exchange Server 2000 Service Pack 3
- Microsoft Exchange Server 2003 Service Pack 2
- Microsoft Exchange Server 2007 Service Pack 1 for x64-based Systems
- Microsoft Exchange Server 2007 Service Pack 2 for x64-based Systems
- Microsoft Exchange Server 2010 for x64-based Systems
o 영향 받지 않는 소프트웨어
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for Itanium-based Systems
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-024.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-024.mspx
[MS10-025] Microsoft Windows Media Services 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Windows 2000 서버에서 운영되는 Windows Media Unicast Service에 외부 공격자가 보낸
특별히 조작된 전송정보 패킷 처리시 임의의 원격코드가 실행될 수 있는 취약점 존재
※ Windows Media Unicast Service : 클라이언트로부터 요구가 있을 경우 네트워크로 연결된
클라이언트에 Windows Media 스트리밍 콘텐트를 제공하는 서비스
※ 현 취약점은 Windows Media Service가 가능한 Microsoft Windows 2000 서버에만
영향을 미침
o 관련취약점 :
- Media Services Stack-based Buffer Overflow Vulnerability - CVE-2010-0478
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Server Service Pack 4
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 Professional Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-025.mspx
o 한글 : (업데이트 확인 시, 내용추가)
[MS10-026] Microsoft MPEG Layer-3 Codecs 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 사용자가 MPEG Layer-3 audio stream을 포함하는 특별히 조작된 AVI file을 오픈할 경우,
임의의 원격코드가 실행될 수 있는 취약점 존재
※ Microsoft MPEG Layer-3 Codecs : 윈도우 미디어 플레이어에 내장되어 있는 가장
기본적인 mp3포맷을 지원하는 코덱
o 사용자가 관리자 권한으로 로그인했을 경우, 공격이 성공하면 공격자는 영향 받는 시스템에 대해
완전한 권한 획득 가능
o 관련취약점 :
- MPEG Layer-3 Audio Decoder Stack Overflow Vulnerability - CVE-2010-0480
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
o 영향 받지 않는 소프트웨어
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-026.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-026.mspx
[MS10-027] Windows Media Player 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 악성 웹사이트에 저장된 공격자의 조작된 미디어콘텐츠를 Windows media Player가 오픈할
경우, 임의의 원격코드가 실행될 수 있는 취약점 존재
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Media Player Remote Code Execution Vulnerability - CVE-2010-0268
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Service Pack 4 (Windows Media Player 9 Series)
- Windows XP Service Pack 2 (Windows Media Player 9 Series)
- Windows XP Service Pack 3 (Windows Media Player 9 Series)
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 Service Pack 4 (Windows Media Player 6.4,
Windows Media Player 7.1)
- Windows XP Service Pack 2 and Windows XP Service Pack 3 (Windows Media
Player 10, Windows Media Player 11)
- Windows XP Professional X64 Edition Service Pack 2 (Windows Media Player 10,
Windows Media Player 11)
- Windows Server 2003 Service Pack 2 (Windows Media Player 10)
- Windows Server 2003 x64 Edition Service Pack 2 (Windows Media Player 10)
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
(Windows Media Player 11)
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2 (Windows Media Player 11)
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2 (Windows Media Player 11)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2 (Windows Media Player 11)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems (Windows Media Player 12)
- Windows 7 for x64-based Systems (Windows Media Player 12)
- Windows Server 2008 R2 for x64-based Systems (Windows Media Player 12)
- Windows Server 2008 R2 for Itanium-based Systems (Windows Media Player 12)
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-027.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-027.mspx
[MS10-028] Microsoft Visio 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Microsoft Office Visio가 조작된 Visio 파일을 오픈할 경우, 임의의 원격코드가 실행될 수
있는 취약점 존재
※ Microsoft Office Visio : 복잡한 정보, 시스템 및 프로세스를 표시하고 분석하며 전달하기
위한 Microsoft Office 다이어그램 및 정보 시각화 솔루션으로 사무 공정 순서도, 네트워크
다이어그램, 워크플로 다이어그램, 데이터베이스 모델, 소프트웨어 다이어그램 등을 도식화
때 많이 사용됨
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Visio Attribute Validation Memory Corruption Vulnerability - CVE-2010-0254
- Visio Index Calculation Memory Corruption Vulnerability - CVE-2010-0256
o 영향 : 원격코드실행
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Office Visio 2002 Service Pack 2
- Microsoft Office Visio 2003 Service Pack 3
- Microsoft Office Visio 2007 Service Pack 1
- Microsoft Office Visio 2007 Service Pack 2
o 영향 받지 않는 소프트웨어
- Microsoft Office Visio Viewer 2007 Service Pack 1 and
Microsoft Office Visio Viewer 2007 Service Pack 2
- Microsoft Visio Enterprise Network Tools
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-028.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-028.mspx
[MS10-029] Windows ISATAP Component 취약점으로 인한 스푸핑 허용 문제
□ 영향
o 공격자가 스푸핑을 통해 영향 받는 시스템내로 침입 가능
□ 설명
o Microsoft Windows가 내부로 들어오는 터널링된 ISATAP 패킷의 IPv6 소스 주소를 적절히
체크하지 못하여, 공격자의 IPv6 소스 주소가 스푸핑될 수 있는 취약점 존재
※ ISATAP(Intra-Site Automatic Tunnel Addressing Protocol) : IPv6 주소에 IPv4 주소를
삽입해 IPv4 망에서는 IPv4 패킷으로 라우팅 처리되고 IPv6 망에서는 IPv6 패킷으로 라우팅
처리되는 터널링(서로 떨어진 네트워크를 가상으로 연결) 기술
o 공격자는 ISATAP 연결 상태에서 IPv4 소스 주소와 일치하지 않는 특별히 조작된 IPv6 소스
주소를 갖는 네트워크 패킷을 만들어 보내는 스푸핑 공격 시도 가능하며, 공격이 성공하면 내부
시스템으로 잠입 가능
o 관련취약점 :
- ISATAP IPv6 Source Address Spoofing Vulnerability - CVE-2010-0812
o 영향 : 스푸핑 허용
o 중요도 : 보통
□ 해당시스템
o 영향 받는 소프트웨어
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and
Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for
32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for
x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for
Itanium-based Systems Service Pack 2
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-029.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-029.mspx
참조 : 인터넷침해사고대응센터