[4022344] Micorosoft 보안 권고 -

 

요약

Microsoft는이 보안 권고를 발표하여 고객에게 Microsoft 맬웨어 방지 엔진 업데이트가 Microsoft에보고 된 보안 취약점을 해결한다고 알립니다.

이 업데이트는 Microsoft 맬웨어 방지 엔진이 특수하게 조작 된 파일을 검사 할 경우 원격 코드 실행을 허용 할 수있는 취약점을 해결합니다. 이 취약점을 성공적으로 악용 한 공격자는 LocalSystem 계정의 보안 컨텍스트에서 임의 코드를 실행하고 시스템을 제어 할 수 있습니다.

Microsoft 맬웨어 방지 엔진에는 여러 가지 Microsoft 맬웨어 방지 제품이 함께 제공됩니다. 영향 을받는 제품 목록을 보려면 영향을받는 소프트웨어 절을 참조하십시오 . 영향을받는 제품에 대해 업데이트 된 맬웨어 정의와 함께 Microsoft 맬웨어 방지 엔진 업데이트가 설치됩니다. 엔터프라이즈 설치 관리자는 정의 된 내부 프로세스를 따라 정의 및 엔진 업데이트가 업데이트 관리 소프트웨어에서 승인되고 클라이언트가 그에 따라 업데이트를 사용하는지 확인해야합니다.

일반적으로 업데이트 자동 검색 및 배포를위한 기본 제공 메커니즘은 배포 후 48 시간 이내에 업데이트를 적용하기 때문에 엔터프라이즈 관리자 또는 최종 사용자가 Microsoft 맬웨어 방지 엔진에 대한 업데이트를 설치하지 않아도됩니다. 정확한 시간은 사용 된 소프트웨어, 인터넷 연결 및 인프라 구성에 따라 다릅니다.

이 권고의 정보는 CVE-2017-0290에서 참조하는 보안 업데이트 가이드에서도 사용할 수 있습니다 .

자문 내용

문제 참조

이 문제에 대한 자세한 내용은 다음 참조를 참조하십시오.

 

** 참고 문헌 **	**신분증**
**이 취약점의 영향을받는 Microsoft 맬웨어 방지 엔진의 최신 버전 **	버전 1.1.13701.0
**이 취약점이있는 Microsoft 맬웨어 방지 엔진의 첫 번째 버전 ** 해결 **	버전 1.1.13704.0

 

* 귀하의 Microsoft 맬웨어 방지 엔진 버전이이 버전보다 크거나 같으면이 취약점의 영향을받지 않으므로 아무런 조치를 취할 필요가 없습니다. 현재 소프트웨어에서 사용중인 엔진 버전 번호를 확인하는 방법에 대한 자세한 내용은 [Microsoft 기술 자료 문서 2510781]의 "업데이트 설치 확인"섹션 (https://support.microsoft.com/kb/2510781)을 참조하십시오. ).

영향을받는 소프트웨어

영향을받는 소프트웨어 버전 또는 에디션은 다음과 같습니다. 나열되지 않은 버전 또는 에디션은 지원 기간이 끝났거나 영향을받지 않습니다. 소프트웨어 버전 또는 에디션의 지원주기를 확인하려면 Microsoft 지원 기간을 참조하십시오 .

 

** 맬웨어 방지 소프트웨어 **	** Microsoft 맬웨어 방지 엔진 원격 코드 실행 취약점 - CVE-2017-0290 **
Microsoft Forefront Endpoint Protection 2010	** 긴급 **    원격 코드 실행
Microsoft Endpoint Protection	** 긴급 **    원격 코드 실행
Microsoft System Center Endpoint Protection	** 긴급 **    원격 코드 실행
Microsoft 보안 기초	** 긴급 **    원격 코드 실행
Windows 7 용 Windows Defender	** 긴급 **    원격 코드 실행
Windows Defender for Windows 8.1	** 긴급 **    원격 코드 실행
Windows RT 8.1 용 Windows Defender	** 긴급 **    원격 코드 실행
Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 용 Windows Defender	** 긴급 **    원격 코드 실행
Windows Intune 끝점 보호	** 긴급 **    원격 코드 실행
Microsoft Exchange Server 2013	** 긴급 **    원격 코드 실행
Microsoft Exchange Server 2016	** 긴급 **    원격 코드 실행
Microsoft Windows Server 2008 R2	** 긴급 **    원격 코드 실행

 

악용 가능성 색인

다음 표는 이번 달에 발표 된 각 취약점에 대한 악용 가능성 평가를 제공합니다. 취약점은 게시판 ID와 CVE ID 순으로 나열됩니다. 보안 공지에서 심각도 또는 중요 등급의 취약점 만 포함됩니다.

이 테이블을 어떻게 사용합니까?

이 표를 사용하여 보안 공지를 릴리스 한 후 30 일 이내에 코드 실행 및 서비스 거부 공격 가능성에 대해 알아야합니다. 설치해야하는 각 보안 업데이트에 대한 것입니다. 특정 구성에 따라 아래의 각 평가를 검토하여 배포의 우선 순위를 지정하십시오. 이 등급이 의미하는 바에 대한 자세한 내용과 결정 방법은 Microsoft 악용 가능성 색인을 참조하십시오 .

아래 열의 "최신 소프트웨어 릴리스"는 해당 소프트웨어를 의미하고 "이전 소프트웨어 릴리즈"는 "영향을받는 소프트웨어"및 "영향을받지 않는 소프트웨어"표에 나열된 해당 소프트웨어의 구형 지원 릴리스를 모두 나타냅니다 게시판에

 

** CVE ID **	** 취약점 제목 **	**  최신 소프트웨어 릴리스에 대한 악용 가능성 평가 **	**  이전 소프트웨어 릴리스에 대한 악용 가능성 평가 **	** 서비스 거부  공격 가능성 평가 **
CVE-2017-0290	스크립팅 엔진 메모리 손상 취약점	2 - 착취 가능성 낮음	2 - 착취 가능성 낮음	해당 사항 없음

 

권고 FAQ ------------ ** Microsoft는이 취약점을 해결하기 위해 보안 공지를 배포하고 있습니까? 아니요. Microsoft는이 정보 보안 권고를 발표하여 고객에게 Microsoft 맬웨어 방지 엔진 Microsoft에보고 된 보안 취약점을 해결합니다. 일반적으로 엔터프라이즈 관리자 또는 최종 사용자는이 업데이트를 설치하기 위해 필요한 조치를 취하지 않습니다. **이 업데이트를 설치하는 데 필요한 조치가없는 이유는 무엇입니까? ** 끊임없이 변화하는 위협 환경에 대응하기 위해 Microsoft는 맬웨어 정의 및 Microsoft 맬웨어 방지 엔진을 자주 업데이트합니다. 새롭거나 널리 퍼진 위협으로부터 효과적으로 보호하려면 효과적인 업데이트를 통해 맬웨어 방지 소프트웨어를 최신 상태로 유지해야합니다. 최종 사용자뿐 아니라 엔터프라이즈 배포의 경우, Microsoft 맬웨어 방지 소프트웨어의 기본 구성은 맬웨어 정의 및 Microsoft 맬웨어 방지 엔진이 자동으로 최신 상태로 유지되도록합니다. 제품 설명서에서는 제품이 자동 업데이트되도록 구성 할 것을 권장합니다. 고객은 자신의 환경에서 Microsoft 맬웨어 방지 엔진 업데이트 및 맬웨어 정의의 자동 배포와 같은 소프트웨어 배포가 예상대로 작동하는지 정기적으로 확인하는 것이 좋습니다. ** Microsoft 맬웨어 방지 엔진 및 맬웨어 정의는 얼마나 자주 업데이트됩니까? ** Microsoft는 일반적으로 한 달에 한 번 또는 새로운 위협으로부터 보호하기 위해 Microsoft 맬웨어 방지 엔진에 대한 업데이트를 릴리스합니다. Microsoft는 일반적으로 맬웨어 정의를 매일 세 번 업데이트하고 필요한 경우 빈도를 높일 수 있습니다. 사용되는 Microsoft 맬웨어 방지 소프트웨어 및 구성 방법에 따라 소프트웨어는 매일 인터넷에 연결될 때 매일 엔진 및 정의 업데이트를 검색 할 수 있습니다. 고객은 언제든지 수동으로 업데이트를 확인할 수도 있습니다. ** 어떻게 업데이트를 설치할 수 있습니까? **이 업데이트 설치 방법에 대한 자세한 내용은 ** ** 제안 된 작업 ** 섹션을 참조하십시오. ** Microsoft 맬웨어 방지 엔진이란 무엇입니까? ** Microsoft 맬웨어 방지 엔진 인 mpengine.dll은 Microsoft 바이러스 백신 및 스파이웨어 방지 소프트웨어의 검색, 검색 및 정리 기능을 제공합니다. **이 업데이트에 보안 관련 기능 변경 사항이 추가로 포함되어 있습니까? ** 예. 이 취약점에 대해 나열된 변경 사항 외에도이 업데이트에는 보안 관련 기능을 향상시키는 데 도움이되는 심층 보안 업데이트가 포함되어 있습니다. ** Microsoft 맬웨어 방지 기술에 대한 자세한 정보는 어디에서 찾을 수 있습니까? ** 자세한 내용은 [Microsoft 맬웨어 방지 센터] (https://www.microsoft.com/security/portal/) 웹 사이트를 참조하십시오. Microsoft 맬웨어 방지 엔진 원격 코드 실행 취약점 - CVE-2017-0290 ------------------------------------ -------------------------------------------------- - Microsoft 맬웨어 방지 엔진이 특수하게 조작 된 파일을 검사하여 메모리 손상을 일으키는 경우 원격 코드 실행 취약점이 존재합니다. 이 취약점을 성공적으로 악용 한 공격자는 LocalSystem 계정의 보안 컨텍스트에서 임의 코드를 실행하고 시스템을 제어 할 수 있습니다. 그러면 공격자가 프로그램을 설치할 수 있습니다. 데이터보기, 변경 또는 삭제; 또는 전체 사용자 권한으로 새 계정을 만들 수 있습니다. 이 취약점을 악용하려면 특수하게 조작 된 파일을 영향을받는 Microsoft 맬웨어 방지 엔진 버전에서 검사해야합니다. 공격자가 Microsoft 맬웨어 방지 엔진에서 검사 한 위치에 특수하게 조작 된 파일을 배치하는 방법에는 여러 가지가 있습니다. 예를 들어, 침입자는 웹 사이트를 사용자가 볼 때 검사되는 특수하게 조작 된 파일을 피해자의 시스템에 제공하기 위해 웹 사이트를 사용할 수 있습니다. 공격자는 전자 메일 메시지 또는 파일을 열 때 검색되는 Instant Messenger 메시지를 통해 특수하게 조작 된 파일을 제공 할 수도 있습니다. 또한 공격자는 사용자가 제공 한 콘텐츠를 수락하거나 호스팅하는 웹 사이트를 활용하여 특수하게 조작 된 파일을 호스팅 서버에서 실행되는 Malware Protection Engine이 검색하는 공유 위치에 업로드 할 수 있습니다. 영향을받는 맬웨어 방지 소프트웨어에 실시간 보호 기능이 설정되어있는 경우 Microsoft 맬웨어 방지 엔진은 파일을 자동으로 검색하여 특수하게 조작 된 파일을 검사 할 때 취약점 악용을 유도합니다. 실시간 검색이 활성화되어 있지 않으면 침입자는 취약점 검색을 위해 예약 검색이 발생할 때까지 기다려야합니다. 영향을받는 맬웨어 방지 소프트웨어 버전을 실행하는 모든 시스템이 주로 위험합니다. 이 업데이트는 Microsoft 맬웨어 방지 엔진이 특수하게 조작 된 파일을 검사하는 방식을 수정하여 취약점을 해결합니다. Microsoft는 조정 된 취약점 공개를 통해이 취약점에 대한 정보를 받았습니다. Microsoft는이 보안 권고가 처음 발행되었을 때이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를받지 못했습니다. 권장 조치 ----------------- Microsoft는이 보안 권고가 처음 발행되었을 때이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를받지 못했습니다. 권장 조치 ----------------- Microsoft는이 보안 권고가 처음 발행되었을 때이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를받지 못했습니다. 권장 조치 -----------------

• 업데이트가 설치되어 있는지 확인하십시오.
  고객은 최신 버전의 Microsoft 맬웨어 방지 엔진 및 정의 업데이트가 Microsoft 맬웨어 방지 제품에 대해 적극적으로 다운로드 및 설치되는지 확인해야합니다.

  소프트웨어에서 현재 사용중인 Microsoft 맬웨어 방지 엔진의 버전 번호를 확인하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2510781의 "업데이트 설치 확인"절을 참조하십시오 .

  영향을받는 소프트웨어의 경우 Microsoft 맬웨어 방지 엔진 버전이 1.1.13704.0 이상인지 확인하십시오.

• 필요한 경우 업데이트 설치
  엔터프라이즈 맬웨어 방지 배포 관리자는 업데이트 관리 소프트웨어가 엔진 업데이트와 새로운 맬웨어 정의를 자동으로 승인하고 배포하도록 구성되어 있는지 확인해야합니다. 또한 기업 관리자는 최신 버전의 Microsoft 맬웨어 방지 엔진 및 정의 업데이트가 해당 환경에서 적극적으로 다운로드, 승인 및 배포되고 있는지 확인해야합니다.

  최종 사용자의 경우 영향을받는 소프트웨어가이 업데이트의 자동 검색 및 배포를위한 기본 제공 메커니즘을 제공합니다. 이러한 고객의 경우 업데이트가 출시 된 후 48 시간 이내에 업데이트가 적용됩니다. 정확한 시간은 사용 된 소프트웨어, 인터넷 연결 및 인프라 구성에 따라 다릅니다. 대기 상태가 아닌 최종 사용자는 맬웨어 방지 소프트웨어를 수동으로 업데이트 할 수 있습니다.

  Microsoft 맬웨어 방지 엔진 및 맬웨어 정의를 수동으로 업데이트하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2510781을 참조하십시오 .

감사 인사

Microsoft 는 고객 보호를 위해 협력 해 주신 다음 분들께 감사드립니다 .

• Google Project Zero 의 Natalie Silvanovich와 Tavis Ormandy

기타 정보

Microsoft Active Protections 프로그램 (MAPP)

고객을위한 보안 보호를 향상시키기 위해 Microsoft는 매월 보안 업데이트 릴리스를 앞두고 주요 보안 소프트웨어 공급 업체에 취약점 정보를 제공합니다. 그런 다음 보안 소프트웨어 제공 업체는이 취약점 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침입 방지 시스템과 같은 보안 소프트웨어 또는 장치를 통해 고객에게 최신 보호 기능을 제공 할 수 있습니다. 보안 소프트웨어 공급 업체에서 활성 보호 기능을 사용할 수 있는지 여부를 확인하려면 MAPP (Microsoft Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 방문하십시오 .

피드백

• Microsoft 도움말 및 지원 양식, 고객 서비스 연락 방법 을 작성하여 피드백을 제공 할 수 있습니다 .

지원하다

• 미국 및 캐나다 고객은 보안 지원을 통해 기술 지원을받을 수 있습니다 . 자세한 내용은 Microsoft 도움말 및 지원을 참조하십시오 .
• 해외 고객은 해당 지역의 Microsoft 지사에서 지원을받을 수 있습니다. 자세한 내용은 국제 지원을참조하십시오 .
• Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

기권

이 권고에서 제공된 정보는 어떤 종류의 보증도없이 "있는 그대로"제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시 적이든 묵시적이든 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급 업체가 직접, 간접적 인, 우발적 인, 결과적 손실, 영업 이익 손실 또는 특별 손해를 포함하여 어떠한 경우에도 Microsoft Corporation 또는 그 공급자는 그러한 손해의 가능성을 사전에 알고 있었을지라도 어떠한 경우에도 책임을지지 않습니다. 일부 주에서는 파생적 또는 부수적 손해에 대한 책임의 배제 나 제한을 허용하지 않으므로 전술 한 제한이 적용되지 않을 수 있습니다.