'원격데스크톱'에 해당되는 글 4건

  1. 2014.06.12 2014년 6월 MS 정기 보안업데이트
  2. 2012.08.16 2012년 8월 MS 정기 보안업데이트
  3. 2012.03.19 MS12-020 RDP vulnerabilities: Patch, Mitigate, Detect
2014.06.12 18:16

2014년 6월 MS 정기 보안업데이트

2014.06.12 18:16 in 운영체제 (L,B,WIN)

[MS14-030] 원격 데스크톱의 취약점으로 인한 변조 문제


영향

  •  공격자가 영향 받는 시스템의 데이터를 변조


설명

  • 공격자가 대상 시스템과 동일한 네트워크에 액세스 권한을 얻은 상태에서 특수하게 조작된 RDP 패킷을 전송하여 활성 RDP 세션의 트래픽 내용을 수정할 수 있는 취약점이 존재
  • 관련취약점 : RDP MAC 취약점 (CVE-2014-0296)
  • 영향 : 원격 코드실행
  • 중요도 : 중요


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

 

[MS14-031] TCP 프로토콜의 취약점으로 인한 서비스 거부 문제

영향

  • 공격자가 영향 받는 시스템에 서비스거부 유발


설명

  • 공격자가 특수하게 조작된 패킷 시퀀스를 대상 시스템에 전송할 경우 서비스 거부를 허용할 수 있는 취약점
  • 관련취약점 : TCP 서비스 거부 취약점 (CVE-2014-1811)
  • 영향 : 서비스 거부
  • 중요도 : 중요


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


[MS14-032] Microsoft Lync Server의 취약점으로 인한 정보 유출 문제


영향

  • 공격자가 영향 받는 시스템의 정보를 유출


설명

  • 사용자가 특수하게 조작된 모임 URL을 클릭하여 Lync 모임에 참여하려고 시도할 경우 정보 유출이 발생할 수 있는 취약점
  • 관련취약점 :  Lync Server 콘텐츠 삭제 취약점 ? (CVE-2014-1823)
  • 영향 : 정보유출
  • 중요도 : 중요


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


[MS14-033] Microsoft XML Core Services의 취약점으로 인한 정보 유출 문제


영향

  • 공격자가 영향 받는 시스템의 정보를 유출


설명

  • 사용자가 인터넷 익스플로러를 통해 MSXML(Microsoft XML Core Services)이 실행되도록 특수하게 조작된 웹 사이트를 방문하는 경우 정보가 유출될 수 있는 취약점이 존재
  • 관련취약점 : MSXML 엔터티 URI 취약점 (CVE-2014-1816)
  • 영향 : 정보유출
  • 중요도 : 중요


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


[MS14-034] Microsoft Word의 취약점으로 인한 원격코드 실행 문제


영향

  • 공격자가 영향 받는 시스템에 원격코드 실행


설명

  • 사용자가 특수하게 조작된 워드 파일을 열 경우 원격코드 실행이 허용될 수 있는 취약점이 존재
  • 관련취약점 : 임베디드 글꼴 취약점 (CVE-2014-2778)
  • 영향 : 원격코드 실행
  • 중요도 : 중요


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


[MS14-035] Internet Explorer 누적 보안 업데이트


영향

  • 공격자가 영향 받는 시스템에 원격코드 실행


설명

  • 사용자는 Internet Explorer를 사용하여 특수하게 제작된 웹페이지를 열람할 경우, 원격코드가 실행될 수 있는 취약점이 존재
  • 관련취약점 :
    • Internet Exploer 메모리 손상 취약점 ? (CVE-2014-0282, CVE-2014-1762,CVE-2014-1764,CVE-2014-1766,CVE-2014-1769,CVE-2014-1770,CVE-2014-1771,CVE-2014-1772,CVE-2014-1773,CVE-2014-1774,CVE-2014-1775,CVE-2014-1777,CVE-2014-1778,CVE-2014-1779,CVE-2014-1780,CVE-2014-1781,CVE-2014-1782,CVE-2014-1783,CVE-2014-1784,CVE-2014-1785,CVE-2014-1786,CVE-2014-1788,CVE-2014-1789,CVE-2014-1790,CVE-2014-1791,CVE-2014-1792,CVE-2014-1794,CVE-2014-1795,CVE-2014-1796,CVE-2014-1797,CVE-2014-1799,CVE-2014-1800,CVE-2014-1082,CVE-2014-1803,CVE-2014-1084,CVE-2014-1805,CVE-2014-2753,CVE-2014-2754,CVE-2014-2755,CVE-2014-2756,CVE-2014-2757,CVE-2014-2758,CVE-2014-2759,CVE-2014-2760,CVE-2014-2761,CVE-2014-2763,CVE-2014-2764,CVE-2014-2765,CVE-2014-2766,CVE-2014-2767,CVE-2014-2768,CVE-2014-2769,CVE-2014-2770,CVE-2014-2771,CVE-2014-2772,CVE-2014-2773,CVE-2014-2775,CVE-2014-2776,CVE-2014-2777)
    • TLS 서버 인증서 재협상 취약점 (CVE-2014-1771)
  • 영향 : 원격코드 실행
  • 중요도 : 긴급


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


[MS14-036] Microsoft Graphics Component의 취약점으로 인한 원격코드 실행 문제


영향

  • 공격자가 영향 받는 시스템에 원격코드 실행


설명

  • 사용자가 특수하게 조작된 파일이나 웹페이지를 열면 취약점으로 인해 원격코드 실행이 허용될 수 있는 취약점이 존재
  • 관련취약점 :
    • Unicode Scripts Processor 취약점 ? (CVE-2014-1817)
    • GDI+ Image 파싱 취약점 - (CVE-2014-1818)
      • 영향 : 원격코드 실행
      • 중요도 : 긴급


해당시스템


해결책

  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


저작자표시비영리변경금지

Posted by 날으는물고기
Tag hi.pe.kr, Microsoft Lync Server, RDP패킷, TCP프로토콜, 물고기, 변조문제, 보안업데이트, 서비스거부, 운영체제, 원격데스크톱, 원격코드실행, 윈도우, 정보유출, 취약점
Trackback 0 Comment 0
2012.08.16 15:11

2012년 8월 MS 정기 보안업데이트

2012.08.16 15:11 in 운영체제 (L,B,WIN)

[MS12-052] Internet Explorer 누적 보안업데이트


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 열람할 경우, 원격코드가 실행될 수
있는 취약점이 존재

  o 관련취약점 :
- Layout Memory Corruption Vulnerability - CVE-2012-1526
- Asynchronous NULL Object Access Remote Code Execution Vulnerability - CVE-2012-2521
- Virtual Function Table Corruption Remote Code Execution Vulnerability - CVE-2012-2522
- JavaScript Integer Overflow Remote Code Execution Vulnerability - CVE-2012-2523

  o 영향 : 원격코드 실행

  o 중요도 : 긴급

 


□ 해당시스템

  o 영향 받는 소프트웨어

Windows XP 서비스 팩3

Windows XP Professional 64-bit 서비스 팩2

Windows Server 2003 서비스 팩2

Windows Server 2003 64-bit 서비스 팩2

Windows Server 2003 Itanium 서비스 팩2

Internet Explorer 6

Windows XP 서비스 팩3

Windows XP Professional 64-bit 서비스 팩2

Windows Server 2003 서비스 팩2

Windows Server 2003 64-bit 서비스 팩2

Windows Server 2003 Itanium 서비스 팩2

Windows Vista 서비스 팩2

Windows Vista 64-bit 서비스 팩2

Windows Server 2008 서비스 팩2

Windows Server 2008 64-bit 서비스 팩2

Windows Server 2008 Itanium 서비스 팩2

Internet Explorer 7

Windows XP 서비스 팩3

Windows XP Professional 64-bit 서비스 팩2

Windows Server 2003 서비스 팩2

Windows Server 2003 64-bit 서비스 팩2

Windows Server 2003 Itanium 서비스 팩2

Windows Vista 서비스 팩2

Windows Vista 64-bit 서비스 팩2

Windows Server 2008 서비스 팩2

Windows Server 2008 64-bit 서비스 팩2

Windows Server 2008 Itanium 서비스 팩2

Windows 7 서비스 팩0, 1

Windows 7 64-bit 서비스 팩0, 1

Windows Server 2008 R2 64-bit 서비스 팩0, 1

Windows Server 2008 R2 Itanium 서비스 팩0, 1

Internet Explorer 8

Windows Vista 서비스 팩2

Windows Vista 64-bit 서비스 팩2

Windows Server 2008 서비스 팩2

Windows Server 2008 64-bit 서비스 팩2

Windows 7 서비스 팩0, 1

Windows 7 64-bit 서비스 팩0, 1

Windows Server 2008 R2 64-bit 서비스 팩0, 1

Internet Explorer 9

  o 영향 받지 않는 소프트웨어

    - Windows Server 2008 서비스 팩2 (서버코어 설치)
    - Windows Server 2008 64-bit 서비스 팩2 (서버코어 설치)
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1 (서버코어 설치)


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-052
  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-052

 

[MS12-053] 원격 데스크톱에서 발생하는 취약점으로 인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 공격자가 특수하게 조작된 RDP패킷 시퀀스를 취약점이 존재하는 시스템에 전송할 경우, 원격코드가
     실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - Remote Desktop Protocol Vulnerability - CVE-2012-2526
  o 영향 : 원격코드 실행
  o 중요도 : 긴급


 

□ 해당시스템


  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩3

  o 영향 받지 않는 소프트웨어
    - Windows XP Professional 64-bit 서비스 팩2
    - Windows Server 2003 서비스 팩2
    - Windows Server 2003 64-bit 서비스 팩2
    - Windows Server 2003 Itanium 서비스 팩2
    - Windows Vista 서비스 팩2
    - Windows Vista 64-bit 서비스 팩2
    - Windows Server 2008 서비스 팩2
    - Windows Server 2008 64-bit 서비스 팩2
    - Windows 7 서비스 팩0, 1
    - Windows 7 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 Itanium 서비스 팩0, 1
    - Windows Server 2008 Itanium 서비스 팩2


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-053

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-053

 

[MS12-054] Windows Networking Components에서 발생하는 취약점으로 인한 원격코드
         실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 공격자가 특수하게 조작된 윈도우 프린트 스풀러 패킷을 취약점이 존재하는 시스템에 전송할 경우,
     원격코드가 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - Remote Administration Protocol Denial of Service Vulnerability - CVE-2012-1850
    - Print Spooler Service Format String Vulnerability - CVE-2012-1851
    - Remote Administration Protocol Heap Overflow Vulnerability - CVE-2012-1852
    - Remote Administration Protocol Stack Overflow Vulnerability - CVE-2012-1853
  o 영향 : 원격코드 실행
  o 중요도 : 긴급

□ 해당시스템

 o 영향 받는 소프트웨어
    - Windows XP 서비스 팩3
    - Windows XP Professional 64-bit 서비스 팩2
    - Windows Server 2003 서비스 팩2
    - Windows Server 2003 64-bit 서비스 팩2
    - Windows Server 2003 Itanium 서비스 팩2
    - Windows Vista 서비스 팩2
    - Windows Vista 64-bit 서비스 팩2
    - Windows Server 2008 서비스 팩2
    - Windows Server 2008 64-bit 서비스 팩2
    - Windows 7 서비스 팩0, 1
    - Windows 7 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 Itanium 서비스 팩0, 1
    - Windows Server 2008 Itanium 서비스 팩2


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-054

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-054

 

[MS12-055] Windows 커널 모드 드라이버에서 발생하는 취약점으로 인한 권한상승 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 권한상승


□ 설명

  o 공격자가 시스템에 로그온하고 특수하게 조작된 응용프로그램을 시행할 경우, 권한이 상승할 수 있는
    취약점이 존재
  o 관련취약점 :
    - Win32k Use After Free Vulnerability - CVE-2012-2527
  o 영향 : 권한상승
  o 중요도 : 중요


□ 해당시스템

  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩3
    - Windows XP Professional 64-bit 서비스 팩2
    - Windows Server 2003 서비스 팩2
    - Windows Server 2003 64-bit 서비스 팩2
    - Windows Server 2003 Itanium 서비스 팩2
    - Windows Vista 서비스 팩2
    - Windows Vista 64-bit 서비스 팩2
    - Windows Server 2008 서비스 팩2
    - Windows Server 2008 64-bit 서비스 팩2
    - Windows Server 2008 Itanium 서비스 팩2 
    - Windows 7 서비스 팩0, 1
    - Windows 7 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 Itanium 서비스 팩0, 1


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-055

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-055

 

[MS12-056] JScript 및 VBScript 엔진에서 발생하는 취약점으로 인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 사용자가 특수하게 제작된 웹 페이지를 열람할 경우, 원격코드가 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - JavaScript Integer Overflow Remote Code Execution Vulnerability - CVE-2012-2523 
  o 영향 : 원격코드 실행
  o 중요도 : 중요

□ 해당시스템

  o 영향 받는 소프트웨어

Windows XP Professional 64-bit 서비스 팩2

Windows Server 2003 64-bit 서비스 팩2

Windows Vista 64-bit 서비스 팩2

Windows Server 2008 64-bit 서비스 팩2

Windows 7 64-bit 서비스 팩0, 1

Windows Server 2008 R2 64-bit 서비스 팩0, 1

Windows Server 2008 R2 Itanium 서비스 팩0, 1

JScript 5.8 및 VBScript 5.8


  o 영향 받지 않는 소프트웨어

Windows XP 서비스 팩3

Windows Vista 서비스 팩2

Windows Server 2008 서비스 팩2

JScript 5.7 및 VBScript 5.7

JScript 5.8 및 VBScript 5.8

Windows XP Professional 64-bit 서비스 팩2

Windows Server 2003 64-bit 서비스 팩2

Windows Server 2003 Itanium 서비스 팩2

JScript 5.6 및 VBScript 5.6

JScript 5.7 및 VBScript 5.7

Windows Server 2003 서비스 팩2

JScript 5.7 및 VBScript 5.6

JScript 5.8 및 VBScript 5.7

JScript 5.8 및 VBScript 5.8

Windows Vista 64-bit 서비스 팩2

Windows Server 2008 64-bit 서비스 팩2

Windows Server 2008 Itanium 서비스 팩2

JScript 5.7 및 VBScript 5.7

Windows 7 서비스 팩0, 1

JScript 5.8 및 VBScript 5.8

    - Windows Server 2008 서비스 팩2 (서버코어 설치)
    - Windows Server 2008 64-bit 서비스 팩2 (서버코어 설치)
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1 (서버코어 설치)

□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-056

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-056

 

[MS12-057] MS Office에서 발생하는 취약점으로 인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 사용자가 특수하게 제작된 Computer Graphics Metafile (CGM)파일이 포함된 오피스 파일을 열람할 경우,
     원격코드가 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - CGM File Format Memory Corruption Vulnerability - CVE-2012-2524
  o 영향 : 원격코드 실행
  o 중요도 : 중요

 

□ 해당시스템

  o 영향 받는 소프트웨어
    - Microsoft Office 2007 서비스 팩 2, 3
    - Microsoft Office 2010 서비스팩1(32비트 에디션)
    - Microsoft Office 2010 서비스팩1(64비트 에디션)
  o 영향 받지 않는 소프트웨어
    - Microsoft Office 2003 서비스 팩 3
    - Mac환경에서 동작하는 Microsoft Office 2008
    - 맥2011 환경에서 동작하는 Microsoft Office
    - Microsoft Office 호환 기능 팩 서비스 팩 2, 3
    - Microsoft Word Viewer
    - Microsoft Excel Viewer 2007 서비스 팩 2, 3
    - Microsoft PowerPoint Viewer 2007 서비스 팩 2, 3
    - Microsoft PowerPoint Viewer 2010 서비스 팩 1
    - Microsoft Visio Viewer 2010 서비스 팩 1
    - Microsoft Works 9

 


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-057

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-057

 

[MS12-058] Microsoft Exchange Server WebReady Document Viewing에서 발생하는 취약점으로
           인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 사용자가 Outlook Web App(OWA)을 사용하여 특수하게 제작된 파일을 미리보기를 할 경우, 
     원격코드가 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - Oracle Outside In contains multiple exploitable vulnerabilities 
  o 영향 : 원격코드 실행
  o 중요도 : 중요


□ 해당시스템

  o 영향 받는 소프트웨어
    - Microsoft Exchange Server 2007 서비스 팩 3 
    - Microsoft Exchange Server 2010 서비스 팩 1, 2
  o 영향 받지 않는 소프트웨어
    - Microsoft Exchange Server 2003 서비스 팩 2


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-058

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-058


[MS12-059] MS Visio에서 발생하는 취약점으로 인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 사용자가 특수하게 제작된 Visio 파일을 열람할 경우, 원격코드가 실행될 수 있는 취약점이 존재

  o 관련취약점 :

    - Visio DXF File Format Buffer Overflow Vulnerability - CVE-2012-1888

  o 영향 : 원격코드 실행

  o 중요도 : 중요


□ 해당시스템

  o 영향 받는 소프트웨어

    - Microsoft Visio 2010 서비스 팩 1 (32-64 비트)

    - Microsoft Visio Viewer 2010 서비스 팩 1 (32-64 비트)

  o 영향 받지 않는 소프트웨어

    - Microsoft Visio 2003 서비스 팩 3

    - Microsoft Visio 2007 서비스 팩 2, 3


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-059

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-059

 

[MS12-060] Windows Common Controls에서 발생하는 취약점으로 인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 사용자가 취약점을 악용하도록 디자인된 웹 사이트를 방문할 경우, 원격코드가 실행될 수 있는
     취약점이 존재
  o 관련취약점 :
    - MSCOMCTL.OCX RCE Vulnerability - CVE-2012-1856
  o 영향 : 원격코드 실행
  o 중요도 : 긴급


□ 해당시스템

  o 영향 받는 소프트웨어
    - Microsoft Office 2003 서비스 팩 3
    - Microsoft Office 2003 Web Components 서비스 팩 3
    - Microsoft Office 2007 서비스 팩 2, 3
    - Microsoft Office 2010 서비스 팩 1
    - Microsoft SQL Server 2000 서비스 팩 4
    - Microsoft SQL Server 2000 Analysis Services 서비스 팩 4
    - Microsoft SQL Server 2005 Express Edition with Advanced Services 서비스 팩 4
    - Microsoft SQL Server 2005 서비스 팩 4 (32-64비트)
    - Microsoft SQL Server 2005 for Itanium-based Systems 서비스 팩 4
    - Microsoft SQL Server 2008 서비스 팩 2, 3 (32-64비트)
    - Microsoft SQL Server 2008 for Itanium-based Systems 서비스 팩 2, 3
    - Microsoft SQL Server 2008 R2 서비스 팩 0, 1, 2 (32-64비트)
    - Microsoft SQL Server 2008 R2 for Itanium-based Systems 서비스 팩 0, 1, 2
    - Microsoft Commerce Server 2002 서비스 팩 4
    - Microsoft Commerce Server 2007 서비스 팩 2
    - Microsoft Commerce Server 2009
    - Microsoft Commerce Server 2009 R2
    - Microsoft Host Integration Server 2004 서비스 팩 1
    - Microsoft Visual FoxPro 8.0 서비스 팩 1
    - Microsoft Visual FoxPro 9.0 서비스 팩 2
    - Visual Basic 6.0 Runtime
  o 영향 받지 않는 소프트웨어
    - Microsoft Office 2010 서비스 팩 1 (64비트)
    - Microsoft Office Web Apps
    - Microsoft Works 9
    - Mac 환경에서 동작하는 Microsoft Office 2008
    - Mac 2011 환경에서 동작하는 Microsoft Office
    - Microsoft SQL Server 2000 Itanium Edition 서비스 팩 4
    - Microsoft SQL Server 2000 Reporting Services 서비스 팩 2
    - Microsoft Windows Server 2003 서비스 팩 2 환경에서 동작하는 Microsoft SQL Server 2000 Desktop
      Engine (MSDE)
    - Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) 서비스 팩 4
    - Microsoft SQL Server 2005 Express Edition 서비스 팩 4
    - SQL Server Management Studio Express (SSMSE) 2005
    - Microsoft SQL Server 2008 Management Studio
    - Microsoft SQL Server 2012 for (32-64 비트)
    - Microsoft BizTalk Server 2004
    - Microsoft BizTalk Server 2006
    - Microsoft BizTalk Server 2009
    - Microsoft Commerce Server 2009 Template Pack for SharePoint 2007
    - Microsoft Commerce Server 2009 Template Pack for SharePoint 2010
    - Microsoft Host Integration Server 2006 서비스 팩 1
    - Microsoft Host Integration Server 2009
    - Microsoft Host Integration Server 2010
    - Microsoft Data Engine (MSDE) 1.0 서비스 팩 0, 4

□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트

  o 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS12-060

  o 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS12-060

저작자표시

Posted by 날으는물고기
Tag hi.pe.kr, ms, 권한상승, 권한획득, 물고기, 보안업데이트, 운영체제, 원격데스크톱, 원격코드실행, 윈도우, 정기업데이트, 취약점
Trackback 0 Comment 0
2012.03.19 18:50

MS12-020 RDP vulnerabilities: Patch, Mitigate, Detect

2012.03.19 18:50 in 운영체제 (L,B,WIN)

As a follow up to the fact the we've raised the INFOCON level to yellow for MS12-020, a step not taken lightly, it was suggested that we offer a few simple things folks can do to ensure that they're patched appropriately, as well as employ possible mitigations and detection.

Specifically, MS12-020 includes KB2671387 (Remote Code Execution - CVE-2012-0002) and KB2667402(Denial of Service - CVE-2012-0152) or KB2621440
The reference for the update you'll see on a Windows system, when installed, depends on the version of the OS you're running. For Windows 7 you'll likely note KB2667402, whereas you should only expect KB2621440 on a Windows XP host.
Confusing, I know, but it matters. Read the full MS12-020 bulletin to confirm.
 
The simplest step to determine if you're properly updated, using Window 7 x64 as an example is: 
Start -> All Programs -> Windows Update -> View Update History and look for reference to KB2667402 as seen in Figure 1.
 

Figure 1 
 
If on a Windows XP host, using Microsoft Update, you can opt for Start -> Microsoft Update -> Review your update history and ensure KB2621440 is installed.
 
Additionally, at the command prompt, you can use Windows Management Instrumentation Command-line (WMIC) and issue:
wmic qfe | find "KB2667402" or wmic qfe | find "KB2621440"
If patched you'll note results as seen in Figure 2.
 

Figure 2
 
Mitigation
Per the bulletins, "systems that do not have RDP enabled are not at risk."
Your privileges on a given system (enterprise GPOs may prevent changes) may dictate your level of success.
Options include, aside from the obvious (PATCH):
1) Don't run RDP if you don't really need it.
Start -> Run -> services.msc -> Stop and/or disable Remote Desktop Services (Figure 3) or disable it via Control Panel

Figure 3
 
2) Use Windows Firewall (where applicable and if enabled) to prevent access to RDP (Figure 4)at the host level

Figure 4
 
3) Ensure your network security configurations don't unnecessarily allow RDP (TCP 3389) from the Internet. If you absolutely, positively must do so, restrict it to approved hosts.
 
4) Enable Network Level Authentication (NLA) on Vista and later systems. Per the SRD blog: "On systems with NLA enabled, the vulnerable code is still present and could potentially be exploited for code execution. However, NLA would require an attacker to first authenticate to the server before attempting to exploit the vulnerability."
  
Detection
Snort users can keep an eye on the likes of Emerging Threats. A rule (SID 2014384) has been included to identify a possible RDP DoS attack as described in KB2667402/CVE-2012-0152. I'm certain additional rules and detection logic are being added across the spectrum of detection options; check in with your vendor/provider accordingly.
 
Feel free to comment with methodology related to the above that works for you and thus may help others.


출처 : isc.sans.edu
저작자표시

Posted by 날으는물고기
Tag detect, detection, hi.pe.kr, KB2621440, Mitigate, MS12-020, Patch, RDP, remote desktop, Windows Firewall, wmic, 물고기, 운영체제, 원격데스크톱, 윈도우, 취약점
Trackback 0 Comment 0
prev Prev 1 2 Next next