Share via

Microsoft 보안 권고 3009008

  • 아티클

SSL 3.0의 취약성으로 인해 정보 공개가 허용됩니다.

게시 날짜: 2014년 10월 14일 | 업데이트: 2015년 4월 14일

버전: 3.0

일반 정보

요약

Microsoft는 SSL 3.0의 취약성을 악용하는 새로운 방법을 설명하는 게시된 자세한 정보를 알고 있습니다. 이는 SSL 3.0 프로토콜 자체에 영향을 주는 업계 전반의 취약성이며 Windows 운영 체제와 관련이 없습니다. 지원되는 모든 버전의 Microsoft Windows는 이 프로토콜을 구현하며 이 취약성의 영향을 받습니다. Microsoft는 현재 보고된 취약성을 사용하려고 시도하는 공격을 인식하지 않습니다. 공격 시나리오를 고려할 때 이 취약성은 고객에게 높은 위험으로 간주되지 않습니다.

Microsoft MAPP(Active Protections Program)의 파트너와 적극적으로 협력하여 고객에게 더 광범위한 보호를 제공하는 데 사용할 수 있는 정보를 제공하고 있습니다.

Microsoft는 2015년 4월 14일 보안 업데이트 3038314 릴리스와 함께 Internet Explorer 11에서 기본적으로 SSL 3.0을 사용하지 않도록 설정한다고 발표했습니다. 또한 Microsoft는 향후 몇 개월 동안 Microsoft 온라인 서비스 SSL 3.0을 사용하지 않도록 설정할 것이라고 발표했습니다. 고객은 클라이언트 및 서비스를 TLS 1.0, TLS 1.1 또는 TLS 1.2와 같은 보다 안전한 보안 프로토콜로 마이그레이션하는 것이 좋습니다.

완화 요소:

  • 공격자는 공격에 성공하기 전에 수백 개의 HTTPS 요청을 수행해야 합니다.
  • TLS 1.0, TLS 1.1, TLS 1.2 및 CBC 모드를 사용하지 않는 모든 암호 그룹은 영향을 받지 않습니다.

권장 사항. SSL 3.0을 사용하지 않도록 설정하는 해결 방법은 이 권고의 제안된 작업 섹션을 참조하세요. Microsoft는 고객이 이러한 해결 방법을 사용하여 SSL 3.0 사용에 대한 클라이언트 및 서비스를 테스트하고 그에 따라 마이그레이션을 시작하는 것이 좋습니다.

권고 세부 정보

문제 참조

이 문제에 대한 자세한 내용은 다음 참조를 참조하세요.

참조 ID
기술 자료 문서 3009008
CVE 참조 CVE-2014-3566 

영향을 받는 소프트웨어

이 권고에서는 다음 소프트웨어에 대해 설명합니다.

영향을 받는 소프트웨어

|**운영 체제**| |------------| |Windows Server 2003 서비스 팩 2| |Windows Server 2003 x64 Edition 서비스 팩 2| |Itanium 기반 시스템용 WINDOWS Server 2003 SP2| |Windows Vista 서비스 팩 2| |Windows Vista x64 Edition 서비스 팩 2| |32비트 시스템 서비스 팩 2용 Windows Server 2008 | |x64 기반 시스템 서비스 팩 2용 Windows Server 2008 | |Itanium 기반 시스템 서비스 팩 2용 Windows Server 2008 | |32비트 시스템 서비스 팩 1용 Windows 7| |x64 기반 시스템 서비스 팩 1용 Windows 7| |x64 기반 Systems 서비스 팩 1용 Windows Server 2008 R2 | |Itanium 기반 시스템 서비스 팩 1용 Windows Server 2008 R2 | |32비트 시스템용 Windows 8| |x64 기반 시스템용 Windows 8| |32비트 시스템용 Windows 8.1| |x64 기반 시스템용 Windows 8.1| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Server Core 설치 옵션**| |32비트 시스템 서비스 팩 2용 Windows Server 2008(Server Core 설치)| |x64 기반 시스템 서비스 팩 2용 Windows Server 2008(Server Core 설치)| |x64 기반 시스템 서비스 팩 1용 Windows Server 2008 R2(Server Core 설치)| |Windows Server 2012(Server Core 설치)| |Windows Server 2012 R2(Server Core 설치)|

 

권고 FAQ


11이 아닌 Internet Explorer 버전을 사용하고 있습니다. 이 취약성으로부터 시스템을 보호하려면 어떻게 해야 하나요?
SSL 3.0은 지원되는 모든 Microsoft Windows 버전의 Internet Explorer 11에서만 사용할 수 없습니다. 다른 버전의 Internet Explorer를 사용하는 경우 이 취약성으로부터 보호하기 위해 시스템에 적용할 수 있는 해결 방법은 제안된 해결 방법 섹션을 참조하세요.

권고의 범위는 무엇입니까?
이 권고의 목적은 Microsoft가 SSL 3.0에 영향을 주는 취약성을 악용하는 새로운 방법을 설명하는 자세한 정보를 알고 있음을 고객에게 알리는 것입니다. 이 취약성은 정보 공개 취약성입니다.

공격자가 취약성을 어떻게 악용할 수 있나요?
MiTM(man-in-the-middle) 공격에서 공격자는 암호화된 TLS 세션을 다운그레이드하여 클라이언트가 SSL 3.0을 사용하도록 강요한 다음 브라우저에서 악성 코드를 실행하도록 강제할 수 있습니다. 이 코드는 대상 HTTPS 웹 사이트에 여러 요청을 보내며, 이전 인증된 세션이 있는 경우 쿠키가 자동으로 전송됩니다. 이 취약성을 악용하기 위해 필요한 조건입니다. 그런 다음 공격자는 이 HTTPS 트래픽을 가로챌 수 있으며 SSL 3.0의 CBC 블록 암호화의 약점을 악용하여 암호화된 트래픽의 일부(예: 인증 쿠키)를 해독할 수 있습니다.

공격자가 이 취약성을 사용하여 수행할 수 있는 작업은 무엇인가요?
이 취약성을 성공적으로 악용한 공격자는 암호화된 트래픽의 일부를 해독할 수 있습니다.

취약성의 원인은 무엇인가요?
이 취약성은 SSL 3.0에서 CBC 블록 암호 패딩 확인이 부족하여 발생합니다.

SSL이란?
SSL(Secure Sockets Layer)은 인터넷을 통한 통신 보안을 제공하는 암호화 프로토콜입니다. SSL은 개인 정보 보호를 위한 암호화 및 메시지 안정성을 위한 키 입력 메시지 인증 코드를 사용하여 네트워크를 통해 전송되는 데이터를 암호화합니다.

TLS란? 
TLS(전송 계층 보안)는 인터넷 또는 인트라넷에서 보안 웹 통신을 제공하는 데 사용되는 표준 프로토콜입니다. 이를 통해 클라이언트는 서버를 인증하거나 필요에 따라 서버를 인증하여 클라이언트를 인증할 수 있습니다. 또한 통신을 암호화하여 보안 채널을 제공합니다. TLS는 SSL(Secure Sockets Layer) 프로토콜의 최신 버전입니다.

TLS가 이 문제의 영향을 받나요?
아니요. 이 문제는 SSL 3.0과 관련이 있습니다.

이것이 업계 전반의 문제인가요?
예. 이 취약성은 SSL 3.0 프로토콜의 디자인에 상주하며 Microsoft의 구현에 국한되지 않습니다.

제안된 작업

해결 방법 적용

해결 방법은 기본 문제를 수정하지 않지만 보안 업데이트를 사용할 수 있기 전에 알려진 공격 벡터를 차단하는 데 도움이 되는 설정 또는 구성 변경을 참조합니다.

  • Internet Explorer에서 SSL 3.0을 사용하지 않도록 설정하고 TLS 1.0, TLS 1.1 및 TLS 1.2를 사용하도록 설정합니다.

    Internet Explorer에서 고급 보안 설정을 수정하여 Internet Explorer에서 SSL 3.0 프로토콜을 사용하지 않도록 설정할 수 있습니다.

    HTTPS 요청에 사용할 기본 프로토콜 버전을 변경하려면 다음 단계를 수행합니다.

    1. Internet Explorer 도구 메뉴에서 InternetOptions를 클릭합니다.
    2. InternetOptions 대화 상자에서 고급 탭을 클릭합니다.
    3. 보안 범주에서 UseSSL3.0 검사 검사 TLS 1.0, TLS 1.1 사용 및 TLS 1.2 사용(사용 가능한 경우)을 사용합니다.
    4. 참고로 연속 버전을 검사 것이 중요합니다. 연속 버전을 선택하지 않으면(예: TLS 1.0 및 1.2를 검사, 검사 1.1을 선택하지 않음) 연결 오류가 발생할 수 있습니다.
    5. 확인을 클릭합니다.
    6. Internet Explorer를 종료하고 다시 시작합니다.

    해결 방법을 적용한 후 Internet Explorer는 SSL을 최대 3.0까지만 지원하고 TLS 1.0, TLS 1.1 및 TLS 1.2를 지원하지 않는 웹 서버에 연결하지 못합니다. 

    고:
    Internet Explorer에서만 SSL 3.0을 사용하지 않도록 설정하는 자동화된 Microsoft Fix it 솔루션을 사용하려면 Microsoft 기술 자료 문서 3009008 참조하세요.

    해결 방법을 실행 취소하는 방법입니다. Internet Explorer에서 SSL 3.0을 사용하도록 설정하려면 다음 단계를 수행합니다.

    1. Internet Explorer 도구 메뉴에서 InternetOptions를 클릭합니다.
    2. InternetOptions 대화 상자에서 고급 탭을 클릭합니다.
    3. 보안 범주에서 UseSSL3.0을 검사.
    4. 확인을 클릭합니다.
    5. Internet Explorer를 종료하고 다시 시작합니다.

  • 그룹 정책에서 SSL 3.0을 사용하지 않도록 설정하고 Internet Explorer에 대해 TLS 1.0, TLS 1.1 및 TLS 1.2를 사용하도록 설정합니다.

    암호화 해제 지원 그룹 정책 개체를 수정하여 그룹 정책을 통해 Internet Explorer에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.

    1. 그룹 정책 관리를 엽니다.

    2. 수정할 그룹 정책 개체를 선택하고 마우스 오른쪽 단추를 클릭하고 편집을 선택합니다 .

    3. 그룹 정책 관리 편집기에서 다음 설정을 찾습니다.
      컴퓨터 구성 -> 관리이상 템플릿 -> Windows 구성 요소 -> Internet Explorer -> Internet 제어판 -> 고급 페이지 -> 암호화 지원 끄기

    4. 암호화 지원 해제 설정을 두 번 클릭하여 설정을 편집합니다.

    5. 사용을 클릭합니다.

    6. 옵션 창에서 보안 프로토콜 조합 설정을 "TLS 1.0, TLS 1.1 및 TLS 1.2 사용"으로 변경합니다.

    7. 참고로 연속 버전을 검사 것이 중요합니다. 연속 버전을 선택하지 않으면(예: TLS 1.0 및 1.2를 검사, 검사 1.1을 선택하지 않음) 연결 오류가 발생할 수 있습니다.

    8. 확인을 클릭합니다.

      참고 관리사용자는 GPO를 해당 환경의 적절한 OU에 연결하여 이 그룹 정책이 적절하게 적용되는지 확인해야 합니다.

    해결 방법을 적용한 후 Internet Explorer는 SSL을 최대 3.0까지만 지원하고 TLS 1.0, TLS 1.1 및 TLS 1.2를 지원하지 않는 웹 서버에 연결하지 못합니다. 

    해결 방법을 실행 취소하는 방법입니다. 다음 단계에 따라 SSL 3.0 정책 설정을 사용하지 않도록 설정합니다.

    1. 그룹 정책 관리를 엽니다.

    2. 수정할 그룹 정책 개체를 선택하고 마우스 오른쪽 단추를 클릭하고 편집을 선택합니다 .

    3. 그룹 정책 관리 편집기에서 다음 설정을 찾습니다.
      컴퓨터 구성 -> 관리이상 템플릿 -> Windows 구성 요소 -> Internet Explorer -> Internet 제어판 -> 고급 페이지 -> 암호화 지원 끄기

    4. 암호화 지원 해제 설정을 두 번 클릭하여 설정을 편집합니다.

    5. 사용 안 함으로 클릭합니다 .

    6. 확인을 클릭합니다.

  • Windows에서 SSL 3.0 사용 안 함

    서버 소프트웨어의 경우

    다음 단계에 따라 Windows에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.

    1. 시작을 클릭하고 실행을 클릭하고 regedt32를 입력하거나 regedit을 입력한 다음 확인을 클릭합니다.
    2. 레지스트리 편집기에서 다음 레지스트리 키를 찾습니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    참고 전체 레지스트리 키 경로가 없는 경우 사용 가능한 키를 확장하고 편집 메뉴에서 새로 만들기 ->Key 옵션을 사용하여 만들 수 있습니다.

    1. 편집 메뉴에서 AddValue를 클릭합니다.
    2. DataType 목록에서 DWORD를 클릭합니다.
    3. ValueName 상자에 Enabled를 입력하고 확인을 클릭합니다

    참고 이 값이 있으면 값을 두 번 클릭하여 현재 값을 편집합니다.

    1. DWORD 편집(32비트) 값 대화 상자에서 0을 입력합니다.
    2. 확인을 클릭합니다. 컴퓨터를 다시 시작합니다.

     

    참고 이 해결 방법은 IIS를 포함하여 시스템에 설치된 모든 서버 소프트웨어에 대해 SSL 3.0을 사용하지 않도록 설정합니다.

    해결 방법을 적용한 후에는 SSL 3.0만 사용하는 클라이언트는 서버와 통신할 수 없습니다.

    해결 방법을 실행 취소하는 방법입니다. 다음 단계에 따라 Windows 서버 소프트웨어에서 SSL 3.0을 사용하지 않도록 설정합니다.

    1. 레지스트리 편집기를 엽니다.
    2. 다음 레지스트리 하위 키를 찾아 클릭합니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. 편집 메뉴에서 삭제를 클릭합니다.
    2. 메시지가 표시되면 를 클릭합니다.
    3. 레지스트리 편집기를 종료합니다.
    4. 시스템을 다시 시작합니다.

    클라이언트 소프트웨어의 경우

    다음 단계에 따라 Windows에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.

    1. 시작을 클릭하고 실행을 클릭하고 regedt32를 입력하거나 regedit을 입력한 다음 확인을 클릭합니다.
    2. 레지스트리 편집기에서 다음 레지스트리 키를 찾습니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    참고 전체 레지스트리 키 경로가 없는 경우 사용 가능한 키를 확장하고 편집 메뉴에서 새로 만들기 ->Key 옵션을 사용하여 만들 수 있습니다.

    1. 편집 메뉴에서 AddValue를 클릭합니다.
    2. DataType 목록에서 DWORD를 클릭합니다.
    3. ValueName 상자에 Enabled를 입력하고 확인을 클릭합니다

    참고 이 값이 있으면 값을 두 번 클릭하여 현재 값을 편집합니다.

    1. DWORD 편집(32비트) 값 대화 상자에서 0을 입력합니다.
    2. 확인을 클릭합니다. 컴퓨터를 다시 시작합니다.

     

    참고 이 해결 방법은 시스템에 설치된 모든 클라이언트 소프트웨어에 대해 SSL 3.0을 사용하지 않도록 설정합니다.

    해결 방법을 적용한 후 이 컴퓨터의 클라이언트 애플리케이션은 SSL 3.0만 지원하는 다른 서버와 통신할 수 없습니다.

    해결 방법을 실행 취소하는 방법입니다. 다음 단계에 따라 Windows 클라이언트 소프트웨어에서 SSL 3.0을 사용하지 않도록 설정합니다.

    1. 레지스트리 편집기를 엽니다.
    2. 다음 레지스트리 하위 키를 찾아 클릭합니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. 편집 메뉴에서 삭제를 클릭합니다.
    2. 메시지가 표시되면 를 클릭합니다.
    3. 레지스트리 편집기를 종료합니다.
    4. 시스템을 다시 시작합니다.

추가 제안된 작업

  • PC 보호

    고객이 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 자세한 내용은 Microsoft 금고ty 및 Security Center를 참조하세요.

  • Microsoft 소프트웨어 업데이트 유지

    Microsoft 소프트웨어를 실행하는 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Microsoft 업데이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. Microsoft 제품에 대한 업데이트를 제공하도록 자동 업데이트를 사용하도록 설정하고 구성한 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 업데이트가 설치되어 있는지 확인해야 합니다.

승인

Microsoft 는 고객을 보호하기 위해 Microsoft와 협력해 주셔서 감사합니다 .

  • 이 문제에 대해 Microsoft와 협력하기 위한 Google 보안 팀의 Bodo Möller

기타 정보

MAPP(Microsoft Active Protections Program)

고객을 위한 보안 보호를 개선하기 위해 Microsoft는 매월 보안 업데이트 릴리스마다 주요 보안 소프트웨어 공급자에게 취약성 정보를 제공합니다. 보안 소프트웨어 공급자는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침입 방지 시스템과 같은 보안 소프트웨어 또는 디바이스를 통해 고객에게 업데이트된 보호를 제공할 수 있습니다. 보안 소프트웨어 공급자로부터 활성 보호를 사용할 수 있는지 여부를 확인하려면 MAPP(Microsoft Active Protections Program) 파트너나열된 프로그램 파트너가 제공하는 활성 보호 웹 사이트를 방문하세요.

Feedback

지원

  • 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
  • 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
  • Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

수정 내용

  • V1.0(2014년 10월 14일): 공지 게시됨.
  • V1.1(2014년 10월 15일): Windows에서 SSL 3.0 프로토콜을 사용하지 않도록 설정하는 해결 방법을 포함하도록 권고가 수정되었습니다.
  • V2.0(2014년 10월 29일): SSL 3.0의 사용 중단을 발표하고, Windows 서버 및 Windows 클라이언트에서 SSL 3.0을 사용하지 않도록 설정하기 위한 해결 방법 지침을 명확히 하고, Internet Explorer용 Microsoft Fix it 솔루션의 가용성을 발표하도록 권고를 수정했습니다. 자세한 내용은 기술 자료 문서 3009008 참조하세요.
  • V2.1(2014년 12월 9일): Microsoft는 Internet Explorer 11에서 SSL 3.0 대체 경고의 가용성을 발표합니다. 자세한 내용은 기술 자료 문서 3013210 참조하세요.
  • V2.2(2015년 2월 10일): Microsoft는 Internet Explorer 11에서 기본적으로 SSL 3.0 대체 시도를 사용하지 않도록 설정한다고 발표했습니다. 자세한 내용은 Microsoft 기술 자료 문서 3021952 참조하세요.
  • V2.3(2015년 2월 16일): Internet Explorer 11에서 기본적으로 SSL 3.0을 사용하지 않도록 설정하기 위한 계획된 날짜를 발표하도록 권고가 수정되었습니다.
  • V3.0(2015년 4월 14일) 2015년 4월 14일 SSL 3.0 보안 업데이트 3038314 릴리스와 함께 공지하도록 수정된 권고는 Internet Explorer 11에서 기본적으로 사용하지 않도록 설정되며 해결 방법을 취소하는 방법에 대한 지침을 추가합니다.

페이지 생성 2015-04-07 14:32Z-07:00.