Microsoft 보안 권고 2269637

안전하지 않은 라이브러리 로드로 인한 원격 코드 실행 문제점

게시된 날짜: 2010년 8월 24일 | 업데이트된 날짜: 2014년 5월 14일

버전: 19.0

일반 정보

요약

Microsoft는 응용 프로그램이 외부 라이브러리를 로드하는 방법에 영향을 주는 취약점 클래스에 대한 원격 공격 경로를 상세히 설명하는 연구가 게시되었음을 확인했습니다.

이 문제점은 소위 "바이너리 플랜팅" 또는 "DLL 사전 로드 공격"을 허용하는 안전하지 않은 특정 프로그래밍 방법으로 인해 발생합니다. 이러한 방법을 통해 사용자가 신뢰할 수 없는 위치에서 파일을 열 때 공격자가 취약한 응용 프로그램을 실행 중인 사용자의 컨텍스트에서 임의의 코드를 원격으로 실행할 수 있습니다.

이 문제점은 외부 라이브러리를 로드할 때 자격이 불충분한 경로를 지나는 응용 프로그램으로 인해 발생합니다. Microsoft는 MSDN 문서, 동적 연결 라이브러리 보안(영문)을 통해 개발자들에게 이 취약점 클래스를 방지하기 위해 제공되는 응용 프로그램 프로그래밍 인터페이스를 올바로 사용하는 방법에 관한 지침을 배포했습니다. 또한 Microsoft는 타사 업체와 활발하게 접촉하여 Microsoft 취약점 연구 프로그램을 통해 사용 중인 운영 체제에서 사용할 수 있는 완화 요소를 전달하고 있으며, Microsoft 응용 프로그램 중 어떤 프로그램이 영향을 받는지에 대해 조사하고 있습니다.

Microsoft는 이 지침 외에도, 시스템 관리자가 시스템 전체 또는 특정 응용 프로그램에서 라이브러리 로드 동작을 변경하여 이 새로운 공격 경로를 통한 위험을 줄일 수 있는 도구를 출시했습니다. 이 권고는 이러한 도구의 기능과 고객이 시스템을 보호할 수 있는 다른 조치를 설명합니다.

완화 요소:

  • 이 문제점은 외부 라이브러리를 안전하게 로드하지 않는 응용 프로그램에만 영향을 줍니다. Microsoft는 이전에 MSDN 문서, 동적 연결 라이브러리 보안(영문)에 이러한 공격에 대해 안전한 라이브러리를 로드하는 대체 방법을 권장하는 개발자를 위한 지침을 게시했습니다.
  • 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
  • 파일 공유 프로토콜인 SMB는 경계 방화벽에서 자주 비활성화됩니다. 이것이 이 취약점의 가능한 공격 경로를 제한합니다.

안전하지 않은 라이브러리 로드 관련 업데이트:

2010년 11월 9일에 발표된 업데이트

  • Microsoft 보안 공지 MS10-087, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

2010년 12월 14일에 발표된 업데이트

  • Microsoft 보안 공지MS10-093, "Windows Movie Maker의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS10-094,"Windows Media Encoder의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS10-095,"Microsoft Windows의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS10-096, "Windows 주소록의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지 MS10-097, "인터넷 연결 등록 마법사의 안전하지 않은 라이브러리 로드로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 1월 11일에 발표된 업데이트

  • Microsoft 보안 공지MS11-001, "Windows 백업 관리자의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 2월 8일에 발표된 업데이트

  • Microsoft 보안 공지 MS11-003, "Internet Explorer 누적 보안 업데이트"는 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Internet Explorer의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 3월 8일에 발표된 업데이트

  • Microsoft 보안 공지MS11-015, "Windows Media의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS11-016, "Microsoft Groove의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS11-017, "원격 데스크톱 클라이언트의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 4월 12일에 발표된 업데이트

  • Microsoft 보안 공지MS11-023, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지 MS11-025, "Microsoft MFC(Microsoft Foundation Class) 라이브러리의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 MFC(Microsoft Foundation Class) 라이브러리를 사용하여 만든 특정 응용 프로그램의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 7월 12일에 발표된 업데이트

  • Microsoft 기술 자료 문서 2533623의 업데이트는 Windows에 응용 프로그래밍 인터페이스(API) 향상 기능을 구현하여 개발자가 외부 라이브러리를 올바르고 안전하게 로드할 수 있도록 합니다. 자동 업데이트를 통해 아직 업데이트를 받지 않은 고객은 "중요" 업데이트 범주에서 이 Windows용 업데이트를 이용할 수 있습니다.

    개발자는 Microsoft 기술 자료 문서 2533623에 제공된 지침을 따라 이 업데이트에서 제공하는 API 향상 기능을 활용하여 프로그램이 DLL을 올바르게 로드하도록 하여 "DLL 사전 로드" 또는 "바이너리 플랜팅" 공격을 방지할 수 있습니다.

  • Microsoft 보안 공지MS11-055, "Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 8월 9일에 발표된 업데이트

  • Microsoft 보안 공지MS11-059, "Data Access Components의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 9월 13일에 발표된 업데이트

  • Microsoft 보안 공지MS11-071,"Windows Components의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS11-073, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 10월 11일에 발표된 업데이트

  • Microsoft 보안 공지MS11-075, "Microsoft Active Accessibility의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지MS11-076, "Windows Media의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 11월 8일에 발표된 업데이트

  • Microsoft 보안 공지MS11-085, "Windows Mail 및 Windows Meeting Space의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2011년 12월 13일에 발표된 업데이트

  • Microsoft 보안 공지 MS11-099, "Internet Explorer 누적 보안 업데이트"는 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지 MS11-094, "Microsoft PowerPoint의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 2월 14일에 제공되는 업데이트

  • Microsoft 보안 공지 MS12-012, "색 제어판의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.
  • Microsoft 보안 공지 MS12-014, "Indeo 코덱의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Windows의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 3월 13일에 발표된 업데이트

  • Microsoft 보안 공지 MS12-022, "Expression Design의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Expression Design의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 6월 12일에 제공되는 업데이트

  • Microsoft 보안 공지 MS12-039, "Lync의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Lync의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 7월 10일에 제공되는 업데이트

  • Microsoft 보안 공지 MS12-046, "Visual Basic for Applications의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Visual Basic for Applications의 취약한 구성 요소에 대한 지원을 제공합니다.

2012년 11월 13일에 발표된 업데이트

  • Microsoft 보안 공지 MS12-074, ".NET Framework의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft .NET Framework의 취약한 구성 요소에 대한 지원을 제공합니다.

2014년 5월 13일에 발표된 업데이트

  • Microsoft 보안 공지MS14-023, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"은 이 권고에서 설명하는 안전하지 않은 라이브러리 로드 취약점 클래스에 영향을 받는 Microsoft Office의 취약한 구성 요소에 대한 지원을 제공합니다.

영향을 받는 소프트웨어

Microsoft는 어떤 자사 응용 프로그램이 안전하지 않은 라이브러리 로드 취약점의 영향을 받는지 조사하고 있으며, 고객을 보호하기 위해 필요한 적절한 조치를 취할 것입니다.

권고 FAQ

개발자는 이 문제점을 피할 수 있는 지침을 어디서 찾을 수 있습니까?   2011년 6월 14일부로 Microsoft 기술 자료 문서 2533623의 업데이트는Windows에 응용 프로그래밍 인터페이스(API) 향상 기능을 구현하여 개발자가 외부 라이브러리를 올바르고 안전하게 로드할 수 있도록 합니다. 개발자는 이 업데이트에서 제공하는API 향상 기능을 활용하기 위해 Microsoft 기술 자료 문서 2533623에 제공된 지침을 따라야 합니다.

Microsoft는 또한 개발자가 외부 라이브러리를 올바르고 안전하게 로드할 수 있는 Windows에서 사용 가능한 다양한 API(응용 프로그래밍 인터페이스)를 소개하는 MSDN 문서, 동적 연결 라이브러리 보안(영문)을 게시했습니다.

또한 Microsoft는 개발자와 협력하여 Microsoft 보안 취약점 연구 프로그램을 통해 제품에서 이러한 취약점의 악용을 방지하는 방법에 대한 정보를 공유하고 있습니다. 이 문제점에 대한 Windows에서 사용 가능한 완화 요소에 관해 질문이 있는 소프트웨어 공급업체 및 독립 소프트웨어 공급업체는 msvr@microsoft.com으로 자세한 완화 요소 정보를 문의하시기 바랍니다.

이 문제의 범위는 무엇입니까?
Microsoft는 이 알려진 취약점 클래스에 대한 새로운 원격 공격 경로를 설명하는 연구가 다수의 보안 연구자에 의해 게시되었음을 확인했습니다. 외부 라이브러리의 경로를 자격이 불충분하게 지정한 경우 응용 프로그램이 이러한 취약점의 영향을 받습니다.

이 위협의 원인은 무엇입니까?   응용 프로그램이 로드하려는 라이브러리에 대해 자격이 충분한 경로를 직접 지정하지 않은 경우 이 취약점이 악용될 수 있습니다. 응용 프로그램의 개발 방식, 응용 프로그램의 지시에 따라 Windows는 파일 시스템에서 필요한 라이브러리에 대한 특정 위치를 검색하여 찾은 파일을 로드하게 됩니다.

SearchPath와 같은 일부 API(응용 프로그래밍 인터페이스)는 응용 프로그램 라이브러리용이 아닌 문서용 검색 순서를 사용합니다. 이 API를 사용하는 응용 프로그램은 공격자가 제어할 수 있는 CWD(현재 실행 중인 디렉터리)에서 라이브러리를 로드할 수 있습니다. 다른 API도 MSDN 문서, 동적 연결 라이브러리 보안(영문)에 설명된 특정 방식으로 사용될 경우,비슷한 동작을 보일 수 있습니다.

WebDAV, SMB 등 네트워크를 공유하는 경우, 이 위치에 쓸 수 있는 권한이 있는 공격자는 특수하게 조작된 라이브러리를 업로드할 수 있습니다. 이 시나리오에서, 응용 프로그램은 로그온한 사용자의 보안 컨텍스트에서 클라이언트 시스템에 임의 코드를 실행할 수 있는 특수하게 조작된 라이브러리를 로드하려고 시도합니다.

공격자는 이 취약점을 악용하여 무엇을 할 수 있습니까?
취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 사용자가 관리자 권한으로 로그온한 경우, 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

일부 경우, 시스템의 로컬 폴더에 대한 액세스 권한이 있는 공격자는 시스템에 대한 상승된 액세스 권한으로 실행 중인 로컬 응용 프로그램에서 DLL 사전 로드 취약점을 악용할 수 있습니다.

공격자는 이러한 취약점을 어떻게 악용합니까?   이 취약점을 악용하려면 공격자는 사용자가 원격 네트워크 위치에서 취약한 프로그램을 사용하여 파일을 열도록 유도해야 합니다. 응용 프로그램이 필수 또는 선택적 라이브러리 중 하나를 로드할 때, 취약한 응용 프로그램이 원격 네트워크 위치에서 라이브러리를 로드하려고 시도할 수 있습니다. 공격자가 특수하게 조작된 라이브러리를 이 위치에 제공하는 경우, 사용자 시스템에서 임의 코드를 실행하는 데 성공할 수 있습니다.

이 취약점에 대한 원격 공격 경로에는 무엇이 있습니까?
이 취약점은 WebDAV, SMB 등의 네트워크 파일 시스템을 통해 악용될 수 있습니다. 공격자는 이러한 프로토콜을 통해 다운로드 파일을 제공할 수 있습니다. 이 파일을 여는 데 사용된 응용 프로그램이 외부 라이브러리를 안전하게 로드하지 않은 경우, 이 파일을 여는 사용자가 이 취약점에 노출될 수 있습니다.

이 문제점은 Microsoft에서 보안 업데이트를 배포해야 하는 보안 취약점입니까?   이 취약점으로 인해 타사 업체는 영향을 받는 각 응용 프로그램에 대한 보안 업데이트를 배포해야 할 수 있습니다. 이 보안 권고의 일부로, Microsoft는 고객이 이 도구를 사용해 응용 프로그램별 글로벌 구성 설정을 통해 원격 공격 경로의 위험을 해결할 수 있는 선택적 완화 도구를 출시했습니다.

Microsoft는 또한 어떤 자사 응용 프로그램이 DLL 사전 로드 취약점의 영향을 받는지 조사하고 있으며, 고객을 보호하기 위해 필요한 적절한 조치를 취할 것입니다.

DLL(동적 연결 라이브러리)이란 무엇입니까?
DLL은.두 개 이상의 프로그램에서 동시에 사용할 수 있는 코드와 데이터를 포함하고 있는 라이브러리입니다. 예를 들어, Windows 운영 체제에서, Comdlg32 DLL은 공용 대화 상자 관련 기능을 수행합니다. 따라서 각 프로그램은 이 DLL에 포함된 해당 기능을 사용해 "열기" 대화 상자를 실행할 수 있습니다. 이를 통해 코드 재사용과 효율적인 메모리 사용이 촉진됩니다.

DLL을 사용하면 프로그램을 별도의 구성 요소로 모듈화할 수 있습니다. 예를 들어, 회계 프로그램은 모듈별로 판매할 수 있습니다. 모듈이 설치된 경우, 각 모듈을 주 프로그램으로 한 번에 로드할 수 있습니다. 모듈이 분리되어 있으므로, 프로그램의 로드 시간이 단축되고 기능이 필요할 때만 관련 모듈이 로드됩니다.

WebDAV(Web Distributed Authoring and Versioning)이란 무엇입니까?
WebDAV(Web Distributed Authoring and Versioning)는 HTTP/1.1 프로토콜을 확장하여 클라이언트가 웹에 리소스를 게시하고 잠그거나 관리할 수 있도록 합니다. 클라이언트는 IIS에 통합된 WebDAV를 통해 다음을 수행할 수 있습니다.

  • 서버의 WebDAV 게시 디렉터리에서 리소스를 조작할 수 있습니다. 예를 들어, 올바른 권한이 할당된 사용자는 WebDAV 디렉토리 내에서 파일을 복사하거나 옮길 수 있습니다.
  • 특정 리소스와 관련된 속성을 수정할 수 있습니다. 예를 들어, 사용자는 파일의 속성 정보에 쓰거나 속성 정보를 검색할 수 있습니다.
  • 리소스를 잠그거나 잠금 해제하여 다수의 사용자가 동시에 파일을 읽을 수 있도록 할 수 있습니다.
  • WebDAV 디렉토리에서 파일의 콘텐츠와 속성을 검색할 수 있습니다.

Microsoft SMB(Server Message Block) 프로토콜이란 무엇입니까?
Microsoft SMB(Server Message Block) 프로토콜은 Microsoft Windows에 사용되는 Microsoft 네트워크 파일 공유 프로토콜입니다. SMB에 대한 자세한 내용은 MSDN 문서 Microsoft SMB 프로토콜 및 CIFS 프로토콜 개요(영문)를 참조하십시오.

권장 조치

  • 영향을 받는 소프트웨어에 업데이트 적용

    사용 가능한 업데이트는 안전하지 않은 라이브러리 로드 관련 업데이트 항목을 참조하십시오.

  • 대안 적용

    대안이란 기본적인 문제점을 수정하지는 않지만 보안 업데이트가 출시되기 전에 알려진 공격 경로를 차단하는 데 유용한 설정 또는 구성 변경을 지칭합니다. 자세한 내용은 다음 섹션 대안을 참조하십시오.

대안

  • WebDAV 및 원격 네트워크 공유에서 라이브러리 로드 비활성화

    참고 고객이 원격 네트워크 또는 WebDAV 공유에서 라이브러리 로드를 비활성화할 수 있는 대안 도구를 배포하려면 Microsoft 기술 자료 문서 2264107을 참조하십시오. 이 도구는 응용 프로그램별 또는 글로벌 시스템별로 안전하지 않은 로드를 허용하지 않도록 구성할 수 있습니다.

    공급업체로부터 이 응용 프로그램의 취약점을 보고 받은 고객은 이 도구를 사용해 이 문제점의 악용을 방지할 수 있습니다.

    참고 SMB 및 WebDAV 공유의 라이브러리 로드를 차단하는 레지스트리 키를 배포하려면Microsoft 기술 자료 문서 2264107을 참조하여 Microsoft Fix it 자동화 솔루션을 사용하십시오. 이 Fix it 솔루션을 사용하기 전에 먼저 Microsoft 기술 자료 문서 2264107에서 설명하는 대안 도구를 설치해야 합니다. 이 Fix it 솔루션은 레지스트리 키만 배포하며, 적용하기 위해서는 대안 도구가 필요합니다. 따라서 관리자는 이 Fix it 솔루션을 배포하기 전에 해당 KB 문서를 면밀히 검토하는 것이 좋습니다.

  • WebClient 서비스 사용 안 함

    WebClient 서비스를 사용하지 않도록 설정하면, WebDAV(Web Distributed Authoring and Versioning) 클라이언트 서비스를 통해 가능성이 가장 높은 공격 경로를 차단함으로써 이 취약점을 악용하는 시도로부터 영향을 받는 시스템을 보호할 수 있습니다. 이 대안을 적용한 후에도 이 취약점을 성공적으로 악용한 원격 공격자가 시스템이 대상 사용자의 컴퓨터 또는 LAN에 설치된 프로그램을 실행하도록 할 가능성은 여전히 존재합니다. 하지만 이 경우에는 인터넷에서 임의의 프로그램을 열기 전에 사용자에게 확인 메시지가 표시됩니다.

    WebClient 서비스를 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.

    1. 시작, 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
    2. WebClient 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    3. 시작 유형을 사용 안 함으로 변경합니다. 서비스가 실행 중인 경우 중지를 클릭합니다.
    4. 확인을 클릭하고 관리 응용 프로그램을 종료합니다.

    대안의 영향. WebClient 서비스를 사용하지 않도록 설정한 경우 WebDAV(Web Distributed Authoring and Versioning) 요청이 전송되지 않습니다. 또한 명시적으로 WebClient 서비스를 사용하는 모든 서비스가 시작되지 않으며 시스템 로그에 오류 메시지가 기록됩니다. 예를 들어, 클라이언트 컴퓨터에서 WebDAV 공유에 액세스할 수 없게 됩니다.

    대안 실행 취소 방법.

    WebClient 서비스를 사용하도록 다시 설정하려면 다음 단계를 수행하십시오.

    1. 시작, 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
    2. WebClient 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    3. 시작 유형을 자동으로 변경합니다. 서비스가 실행 중인 경우 시작을 클릭합니다.
    4. 확인을 클릭하고 관리 응용 프로그램을 종료합니다.

     

  • 방화벽에서 TCP 포트 139 및 445 차단

    이 포트들은 영향을 받는 구성 요소와 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TechNet 문서, TCP 및 UDP 포트 할당(영문)을 참조하십시오.

    대안의 영향. 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

    • SMB(CIFS)를 사용하는 응용 프로그램
    • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
    • 서버(파일 및 인쇄 공유)
    • 그룹 정책
    • Net Logon
    • 분산 파일 시스템(DFS)
    • 터미널 서버 라이선스
    • 인쇄 스풀러
    • 컴퓨터 브라우저
    • 원격 프로시저 호출 로케이터
    • 팩스 서비스
    • 인덱싱 서비스
    • 성능 로그 및 경고
    • Systems Management Server
    • 라이선스 로깅 서비스

    대안 실행 취소 방법. 방화벽에서 TCP 포트 139 및 445를 차단 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당(영문)을 참조하십시오.

 

추가 권장 조치

  • 안전하지 않은 라이브러리 로드를 해결하는 타사 업체의 업데이트 설치

    타사 업체가 해당 제품에서 안전하지 않은 라이브러리 로드를 해결하는 업데이트를 발표할 수도 있습니다. Microsoft는 특정 응용 프로그램이 이 문제점의 영향을 받는지 여부에 관계 없이, 질문이 있는 고객의 경우 공급업체에 문의하여 이러한 공급업체에 의해 출시된 보안 업데이트를 모니터링하도록 권장합니다.

  • PC 보호

    Microsoft에서 제공하는 컴퓨터 보호 지침을 따라 방화벽을 사용하고 소프트웨어를 업데이트하고 안티바이러스 소프트웨어를 설치할 것을 권장합니다. 자세한 내용은 Microsoft 안전 및 보안 센터를 참조하십시오.

  • Microsoft 소프트웨어 업데이트 상태 유지

    Microsoft 소프트웨어 사용자는 최신 Microsoft 보안 업데이트를 적용하여 보호 수준을 최신 상태로 유지해야 합니다. 소프트웨어가 최신 상태인지 잘 모르는 경우 Microsoft 업데이트를 방문하여 컴퓨터에 사용 가능한 업데이트가 있는지 검색하고, 제공되는 중요 업데이트를 모두 설치합니다. 자동 업데이트를 사용하고 Microsoft 제품에 업데이트를 제공하도록 구성한 경우 업데이트가 출시됨과 동시에 사용자에게 전달되지만, 설치가 되었는지 확인해야 합니다.

기타 정보

MAPP(Microsoft Active Protections Program)

고객에 대한 보안을 강화하기 위해 Microsoft는 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약점 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약점 정보를 사용하여 안티바이러스, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침임 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면 Microsoft MAPP(Active Protections Program) 파트너(영문)에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.

사용자 의견

지원

  • 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
  • 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 자세한 내용은 국가별 지원 웹 사이트를 참조하십시오.
  • Microsoft TechNet Security는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

개정 내역

  • V1.0(2010년 8월 24일): 권고가 게시되었습니다.
  • V1.1(2010년 9월 1일): WebDAV 및 원격 네트워크 공유에서 라이브러리 로드를 비활성화하는 대안의 Microsoft Fix it 자동화 솔루션을 제공하기 위해 Microsoft 기술 자료 문서 2264107에 링크가 추가되었습니다.
  • V2.0(2010년 11월 10일): Microsoft 보안 공지 MS10-087, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"이 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다.
  • V3.0(2010년 12월 15일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS10-093 "Windows Movie Maker의 취약점으로 인한 원격 코드 실행 문제점", MS10-094 "Windows Media Encoder의 취약점으로 인한 원격 코드 실행 문제점", MS10-095 "Microsoft Windows의 취약점으로 인한 원격 코드 실행 문제점", MS10-096 "Windows 주소록의 취약점으로 인한 원격 코드 실행 문제점" 및 MS10-097 "인터넷 연결 등록 마법사의 안전하지 않은 라이브러리 로드로 인한 원격 코드 실행 문제점"
  • V4.0(2011년 1월 12일): Microsoft 보안 공지 MS11-001, "Windows 백업 관리자의 취약점으로 인한 원격 코드 실행 문제점"이 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다.
  • V5.0(2011년 2월 9일): 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 Microsoft 보안 공지 MS11-003, "Internet Explorer 누적 보안 업데이트"가 추가되었습니다.
  • V6.0(2011년 3월 9일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS11-015 "Windows Media의 취약점으로 인한 원격 코드 실행 문제점", MS11-016 "Microsoft Groove의 취약점으로 인한 원격 코드 실행 문제점" 및 MS11-017 "원격 데스크톱 클라이언트의 취약점으로 인한 원격 코드 실행 문제점".
  • V7.0(2011년 4월 13일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS11-023, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점" 및 MS11-025, "Microsoft MFC(Microsoft Foundation Class) 라이브러리의 취약점으로 인한 원격 코드 실행 문제점"
  • V8.0(2011년 7월 13일): Microsoft 기술 자료 문서 2533623의 업데이트와 Microsoft 보안 공지 MS11-055, "Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점"의 업데이트가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. Microsoft 기술 자료 문서 2533623의 업데이트는 Windows에 응용 프로그래밍 인터페이스(API) 향상 기능을 구현하여 개발자가 외부 라이브러리를 올바르고 안전하게 로드할 수 있도록 합니다.
  • V9.0(2011년 8월 10일): Microsoft 보안 공지 MS11-059, "Data Access Components의 취약점으로 인한 원격 코드 실행 문제점"이 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다.
  • V10.0(2011년 9월 14일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS11-071, "Windows 구성 요소의 취약점으로 인한 원격 코드 실행 문제점" 및 MS11-073, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"
  • V11.0 (2011년 10월 12일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS11-075, "Microsoft Active Accessibility의 취약점으로 인한 원격 코드 실행 문제점;" 및 MS11-076, "Windows Media Center의 취약점으로 인한 원격 코드 실행 문제점"
  • V12.0(2011년 11월 9일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS11-085, "Windows Mail 및 Windows Meeting Space의 취약점으로 인한 원격 코드 실행 문제점"
  • V13.0(2011년 12월 14일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS11-099, "Internet Explorer 누적 보안 업데이트" 및 MS11-094, "Microsoft PowerPoint의 취약점으로 인한 원격 코드 실행 문제점."
  • V14.0(2012년 2월 15일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS12-012, "색 제어판의 취약점으로 인한 원격 코드 실행 문제점" 및 MS12-014, "Indeo 코덱의 취약점으로 인한 원격 코드 실행 문제점."
  • V15.0(2012년 3월 14일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS12-022, "Expression Design의 취약점으로 인한 원격 코드 실행 문제점"
  • V16.0(2012년 6월 13일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS12-039, "Lync의 취약점으로 인한 원격 코드 실행 문제점"
  • V17.0(2012년 7월 11일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS12-046, "Visual Basic for Applications의 취약점으로 인한 원격 코드 실행 문제점."
  • V18.0(2012년 11월 14일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS12-074, ".NET Framework의 취약점으로 인한 원격 코드 실행 문제점"
  • V19.0(2014년 5월 14일): 다음 Microsoft 보안 공지가 안전하지 않은 라이브러리 로드 관련 업데이트 섹션에 추가되었습니다. MS14-TBD, "Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점"

2014년 5월 7일 16:30Z-07:00에 페이지가 생성되었습니다.