MS 10월 보안 위협에 따른 정기 및 기타 보안 업데이트 권고

안녕하세요 이호스트데이터센터 입니다 

최근 다양한 침해시도 및 사고가 빈번히 발생하고 있습니다.

해당 메일을 수신한 전산 담당자께서는 아래 내용 확인하시어 피해를 입는 사례가 없도록 관리하시기 바랍니다

 

□ 10월 보안업데이트 개요(총 11종)  o 발표일 : 2017.10.11.(수)  o 등급 : 긴급(Critical) 8종, 중요(Important) 3종  o 업데이트 내용 제품군 중요도 영향 KB번호 Windows 10, Server 2016, Edge 긴급 원격코드실행 4041676 등 4개 Windows 8.1, Server 2012 R2 긴급 원격코드실행 4041687 등 2개 Windows RT 8.1 긴급 원격코드실행 4041693 Windows Server 2012 긴급 원격코드실행 4041679 등 2개 Windows 7, Server 2008 R2 긴급 원격코드실행 4041678 등 2개 Windows Server 2008 긴급 원격코드실행 4041671 등 10개 Internet Explorer 긴급 원격코드실행 4040685 등 8개 Office 중요 원격코드실행 2553338 등 21개 SharePoint Enterprise Server 중요 권한 상승 4011157 등 4개 Lync, Skype 중요 권한 상승 4011159 등 2개 ChakraCore 긴급 원격코드실행 -    o 참고사이트   - 한글 : https://portal.msrc.microsoft.com/ko-kr/security-guidance   - 영문 : https://portal.msrc.microsoft.com/en-us/security-guidance      □ 기타 보안 업데이트 개요  o 발표일 : 2017.10.11.(수)  o 업데이트 내용 제품군 중요도 영향 KB번호 TPM 긴급 원격코드실행 4038786 등 10개 NTLM - - - Windows 10, Server 2016, Edge 보안 업데이트      □ 설명  o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격코드실행을 허용하는 취약점    o 관련취약점 :   - 서비스거부 취약점(CVE-2017-8703, 11781)   - 권한상승 취약점(CVE-2017-8689, 8694, 11782, 11783, 11824, 11829)   - 정보노출 취약점(CVE-2017-8693, 8726, 11765, 11772, 11784, 11785, 11794, 11814, 11815, 11816, 11817)   - 원격코드실행 취약점(CVE-2017-8717, 8718, 8727, 11762, 11763, 11769, 11771, 11779, 11780, 11792, 11796,      11798, 11799, 11800, 11802, 11804, 11805, 11806, 11807, 11808, 11809, 11811, 11812, 11821)   - 보안기능 우회 취약점(CVE-2017-8715, 11818, 11823)    o 영향 : 원격코드실행    o 중요도 : 긴급    o 관련 KB번호   - 4041676, 4041689, 4041691, 4042895      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Windows 8.1, Server 2012 R2 보안 업데이트      □ 설명  o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격코드실행을 허용하는 취약점    o 관련취약점 :   - 서비스거부 취약점(CVE-2017-11781)   - 권한상승 취약점(CVE-2017-8689, 8694, 11783, 11824)   - 정보노출 취약점(CVE-2017-11765, 11772, 11784, 11785, 11814, 11815, 11816, 11817)   - 원격코드실행 취약점(CVE-2017-8717, 8718, 8727, 11762, 11763, 11771, 11779, 11780)   - 보안기능 우회 취약점(CVE-2017-11818)    o 영향 : 원격코드실행    o 중요도 : 긴급    o 관련 KB번호   - 4041687, 4041693      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Windows RT 8.1 보안 업데이트      □ 설명  o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격코드실행을 허용하는 취약점    o 관련취약점 :   - 서비스거부 취약점(CVE-2017-11781)   - 권한상승 취약점(CVE-2017-8689, 8694, 11783, 11824)   - 정보노출 취약점(CVE-2017-11765, 11772, 11784, 11785, 11814, 11815, 11816, 11817)   - 원격코드실행 취약점(CVE-2017-8717, 8718, 8727, 11762, 11763, 11771, 11779, 11780)   - 보안기능 우회 취약점(CVE-2017-11818)    o 영향 : 원격코드실행    o 중요도 : 긴급    o 관련 KB번호   - 4041693      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Windows Server 2012 보안 업데이트      □ 설명  o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격코드실행을 허용하는 취약점    o 관련취약점 :   - 서비스거부 취약점(CVE-2017-11781)   - 권한상승 취약점(CVE-2017-8694, 11783, 11824)   - 정보노출 취약점(CVE-2017-11765, 11772, 11784, 11785, 11814, 11815, 11816, 11817)   - 원격코드실행 취약점(CVE-2017-8717, 8718, 8727, 11762, 11763, 11771, 11779, 11780)   - 보안기능 우회 취약점(CVE-2017-11818)    o 영향 : 원격코드실행    o 중요도 : 긴급    o 관련 KB번호   - 4041679, 4041690      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Windows 7, Server 2008 R2 보안 업데이트      □ 설명  o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격코드실행을 허용하는 취약점    o 관련취약점 :   - 서비스거부 취약점(CVE-2017-11781)   - 권한상승 취약점(CVE-2017-8689, 8694, 11824)   - 정보노출 취약점(CVE-2017-11765, 11772, 11784, 11785, 11814, 11815, 11816, 11817)   - 원격코드실행 취약점(CVE-2017-8717, 8718, 8727, 11762, 11763, 11771, 11780, 11819)    o 영향 : 원격코드실행    o 중요도 : 긴급    o 관련 KB번호   - 4041678, 4041681      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Windows Server 2008 보안 업데이트      □ 설명  o 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격코드실행을 허용하는 취약점    o 관련취약점 :   - 서비스거부 취약점(CVE-2017-11781)   - 권한상승 취약점(CVE-2017-8689, 8694, 11824)   - 정보노출 취약점(CVE-2017-11765, 11772, 11784, 11785, 11814, 11815, 11816, 11817)   - 원격코드실행 취약점(CVE-2017-8717, 8718, 8727, 11762, 11763, 11771, 11780)    o 영향 : 원격코드실행    o 중요도 : 긴급    o 관련 KB번호   - 4041671, 4041944, 4041995, 4042007, 4042067, 4042120, 4042121, 4042122, 4042123, 4042723      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Internet Explorer 보안 업데이트      □ 설명  o 이용자가 Internet Explorer로 특수하게 제작된 악성 웹 페이지를 열람할 경우, 원격코드실행이 허용되는 취약점    o 관련취약점 :   - 정보노출 취약점(CVE-2017-11790)   - 원격코드실행 취약점(CVE-2017-11793, 11810, 11813, 11822)  o 영향 : 원격코드실행    o 중요도 : 중요    o 관련 KB번호   - 4040685, 4041676, 4041681, 4041689, 4041690, 4041691, 4041693, 4042895      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Office 보안 업데이트    □ 설명  o 이용자가 특수 제작된 악성 Office 파일을 열람하는 경우, 원격코드실행이 허용되는 취약점    o 관련취약점 :   - 정보노출 취약점(CVE-2017-11776)   - 원격코드실행 취약점(CVE-2017-11825, 11826)   - 보안기능 우회 취약점(CVE-2017-11774)    o 영향 : 원격코드실행    o 중요도 : 중요    o 관련 KB 번호   - 2553338, 2837599, 2920723, 3172524, 3172531, 3213623, 3213627, 3213630, 3213647, 3213648, 3213659,      4011068, 4011162, 4011178, 4011185, 4011194, 4011196, 4011222, 4011231, 4011232, 4011236      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용 SharePoint Enterprise Server 보안 업데이트      □ 설명  o 공격자가 XSS 취약점이 존재하는 SharePoint서버에 조작된 요청을 전송할 경우, 권한상승이 허용되는 취약점    o 관련취약점 :   - 권한상승 취약점(CVE-2017-11775, 11777, 11820)   - 원격코드실행 취약점(CVE-2017-11826)    o 영향 : 권한상승    o 중요도 : 중요    o 관련 KB 번호   - 4011157, 4011170, 4011180, 4011217      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     Lync, Skype 보안 업데이트    □ 설명  o 공격자가 비즈니스용 Skype에 조작된 요청을 보낼 경우, 권한상승이 허용되는 취약점    o 관련취약점 :   - 권한상승 취약점(CVE-2017-11786)    o 영향 : 권한상승    o 중요도 : 중요  o 관련 KB 번호   - 4011159, 4011179    □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용   ChakraCore 보안 업데이트      □ 설명  o 이용자가 Edge로 특수하게 제작된 악성 웹 페이지를 열람할 경우, 원격코드실행이 허용되는 취약점        ※ ChakraCore : Edge의 자바스크립트 엔진, Cloud, 게임엔진, IoT 등에서도 사용    o 관련취약점 :   - 원격코드실행 취약점(CVE-2017-11767, 11792, 11796, 11797, 11799, 11801, 11802, 11804, 11805, 11806,      11807, 11808, 11809, 11811, 11812, 11821)    o 영향 : 원격코드실행    o 중요도 : 긴급      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     TPM관련 보안 업데이트      □ 설명  o 공격자가 TPM 칩셋 펌웨어에 취약점을 악용할 경우, Windows 보안기능 우회가 가능한 취약점     ※ TPM(Trusted Platform Module) : 암호화 키 생성, 저장 및 제한하는 모듈  o Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 및     Windows Server 2016에 영향을 미침   o 영향 : 보안기능 우회    o 중요도 : 긴급    o 관련 KB 번호   - 4038786, 4038793, 4041676, 4041679, 4041687, 4041689, 4041690, 4041691, 4041693, 4042895      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     ※ 참고 : https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012     Windows NTLM SSO 인증 보안 업데이트      □ 설명  o NTLM SSO(NT LAN Manager Single Sign On) 제어를 통해, 공격자로 인한 리다이렉션 및 NTLM 인증 메시지 탈취를     제한하는 보안 기능  o Windows 10, Windows Server 2016에 영향을 미침     o 관련 KB 번호   - 4041676, 4041689, 4041691, 4042895      □ 해결책  o 영향 받는 소프트웨어를 이용하는 경우 마이크로소프트사의 보안 패치 적용     ※ 참고 : https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170014   □ 개요  o Apache 소프트웨어 재단은 Apache Tomcat에 영향을 주는 원격 코드 실행 취약점을 해결한 보안 업데이트 발표  o 취약점 버전을 사용 중일 경우 웹 쉘 업로드로 인한 피해가 발생할 수 있으므로 서버의 담당자는 해결 방안에 따라     최신 버전으로 업데이트 권고      □ 설명  o 서버에서 HTTP PUT 메소드를 사용하도록 설정한 경우 특수하게 조작된 Request 요청을 통해 JSP 파일을 서버에 업로드할     수 있는 원격 코드 실행 취약점(CVE-2017-12617)      □ 영향을 받는 버전  o Apache Tomcat 9.0.0.M1 - 9.0.0  o Apache Tomcat 8.5.0 ~ 8.5.22  o Apache Tomcat 8.0.0.RC1 ~ 8.0.46  o Apache Tomcat 7.0.0 ~ 7.0.81    □ 해결 방안  o Apache Tomcat 9.x 버전 사용자    - Apache Tomcat 9.0.1 버전으로 업그레이드 [1]  o Apache Tomcat 8.x 버전 사용자    - Apache Tomcat 8.0.47 버전 혹은 8.5.23 버전으로 업그레이드 [2]  o Apache Tomcat 7.x 버전 사용자    - Apache Tomcat 7.0.82 버전으로 업그레이드 [3]      □ 기타 문의사항  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트]  [1] http://tomcat.apache.org/security-9.html  [2] http://tomcat.apache.org/security-8.html  [3] http://tomcat.apache.org/security-7.html

 

 

이호스트데이터센터 Security & Mangement 서비스 소개

 

1. 백업(Backup)

보안 사고는 예방이 최선의 방법이지만 공격을 100% 방어할 수 있는 솔루션은 현재 존재하지 않습니다.

때문에 최소한의 장치로 OS 부터 어플리케이션, 데이터 영역을 주기적으로 백업하여 보안 사고 발생시 최신 데이터로

복원하는 것이 최선입니다. EhostIDC에서는 상용 백업 솔루션 Acronis 를 도입하여 피해 데이터를 최소한의 시간으로 복구할 수 있도록

지원합니다. 최소한의 비용으로 합리적인 서비스를 제공해 드립니다.

백업 용량 100G 제공 : 30,000원(VAT 별도)

 

2. 서버 자원 모니터링(Monitoring)

이호스트데이터센터에서 제공하는 모니터링 서비스는 2가지로 구분됩니다.

SMS(System Monitoring Service)

APM(Application process Monitoring)

SMS는 system 관리만으로 서비스 운영 파악이 충분히 가능한 경우 적용하시면 됩니다.

CPU, HDD/SSD, Memory, Server log, Network와 더불어 DB Application 모니터링을 제공하며

각각의 server가 개별적인 업무, 독립적인 구성이 되어 있는 서비스에 적합합니다.

APM은 시간의 흐름에 따라 실시간 web-instance 추적을 통해 특정 시점 단계를 추적할 수 있습니다.

SMS 보다 구체적인 모니터링이 제공됩니다.

이호스트데이터센터를 통해 합리적인 가격으로 SMS와 APM을 이용하시어 안정적으로 IT 인프라를 운영하시기 바랍니다.

SMS : 19,000원(VAT 별도)/Server

APM : 30,000원(VAT 별도)/Core

 

3. 보안관제

랜섬웨어 등 새로운 유형의 공격을 비롯하여, SQL Injection · XSS 스트립팅과 같은 전통적인 보안 취약점을 이용한 공격이

지속적으로 발생하고 있습니다.

네트워크의 기본 구조인 L3, L2 스위치에서 서버 Zone으로 트래픽이 발생하고 있다면

침해사고 발생시 어떤 경로에서 어떤 원인을 통해 사고가 발생했는지 알 수 없습니다.

이호스트에서는 Web firewall, IPS 방화벽, 차세대 방화벽을 별도로 제공하며,

더불어 해당 장비를 통한 보안관제 서비스를 제공하고 있습니다.

보안관제 서비스 제공 방식은 초기 보안장비 구축 시 공격에 대한 탐지 기간 제공 후

유효한 공격에 대해 차단 모드를 적용합니다.

 

서비스 관련하여 궁금하신 사항이나 정확한 서비스 컨설팅을 원하시면

메일(request@ehostidc.co.kr)이나 전화 (070-7600-5512)로 연락 바랍니다.

감사합니다.

 

이호스트데이터센터 드림