.jpg)
윈도 10과 11에서 취약점이 발견됐다. 원격 코드 실행을 가능하게 하는, 꽤나 위험한 취약점이다. 하지만 CVE 번호가 붙어있지는 않다. 따라서 대응이 조금 어려울 수 있다. 이와 관련하여 취약점 발견자들이 ‘MS 탓’이라고 비판했다.
[보안뉴스 문가용 기자] 독일의 보안 전문가 2명이 윈도 10에서 드라이브 바이 코드 실행 취약점을 발견하고 공개했다. 이들에 의하면 MS에 해당 취약점을 미리 알렸으나 제대로 된 대응을 하지 않고 몰래 패치를 진행했다고 한다. 연구원들은 MS의 이런 대응과 태도를 크게 비판하기도 했다.
[이미지 = utoimage]
이번에 공개된 취약점은 브라우저 기반으로 발동되며, 피해자의 잘못된 클릭 한 번을 유도하는 것으로 충분히 익스플로잇 될 수 있다. 아규먼트를 주입하게 해 주는 취약점으로 ms-officecmd:URI와 관련이 있다. 데모 버전의 익스플로잇을 두 전문가가 공개한 상태인데, MS는 이 취약점의 심각성을 그리 심각하게 보고 있지 않으며, 따라서 취약점 발견에 따른 상금 역시 두 전문가에게 제대로 제공하지 않았다고 한다.
이 전문가의 이름은 파비안 브라운레인(Fabian Braunlein)과 쿠카스 율러(Kukas Euler)로 둘 다 보안 업체 포지티브 시큐리티(Positive Security) 소속이다. 이 둘이 발표한 기술 문서에 의하면 MS는 두 연구원들에게는 무성의한 반응을 보이고 5개월 동안 조용히 있다가 갑자기 아무도 모르게 패치를 진행했다고 한다. 그나마 패치도 제대로 되지 않은 것으로 분석됐다. “아직도 저희가 발견한 취약점은 윈도 11에 잔존해 있습니다.”
둘은 보고서를 통해 다음과 같이 썼다. “조작된 ms-officecmd:URI로 우회시키는 악성 웹사이트를 통해 5개월 전 저희가 발견한 코드 실행 취약점을 발동시킬 수 있습니다. URI 핸들러에 아규먼트를 주입할 수 있으며, 이를 통해 보안 장치들을 우회할 수도 있습니다.” 즉 부비트랩을 웹사이트에 설치하고 윈도 10/11 사용자를 유도하면 원격에서 코드를 실행할 수 있게 된다는 것이다.
둘은 이러한 내용을 상세하게 담아 MS로 전달했다. 하지만 MS와 소통하는 건 너무나 어려운 일이었다고 한다. “MS는 제일 처음 이 취약점이 소셜엔지니어링 공격일 뿐이라며 자신들의 규정과 맞지 않는다고 답해왔습니다. 그래서 저희가 여러 번 기술적 내용을 설명했더니, 그제야 치명적 위험도의 원격 코드 실행 취약점임을 인정했습니다. 하지만 이들이 저희에게 준 상금은 치명적 위험도를 가진 취약점에 해당하는 것이 아니었습니다.”
심지어 MS가 위험한 취약점에 대해 알고 있음에도 이를 공개하지 않는 것을 두 전문가는 이해할 수 없었다고 한다. “그래서 이 취약점에는 CVE 번호가 아직 붙어있지 않습니다. 일반 대중이 이 취약점에 대한 대비책을 마련할 수가 아예 없는 것이죠.”
두 전문가는 계속해서 MS에 연락을 했지만 대응은 항상 느렸으며, 대응하는 팀의 기술적 이해도가 낮아 도무지 대화를 이어가기가 힘든 수준이었다고 한다. “저희는 윈도 10 URI 핸들러의 취약한 부분을 탐구해보고자 결정했고, 불과 2주 만에 코드 실행 취약점을 찾아냈습니다. 윈도에서 URI 핸들러가 얼마나 많이 사용되는지 생각했을 때 이 취약점의 파급력은 꽤나 높을 것으로 예상하고 있습니다.”
두 전문가가 작성해 발표한 기술 보고서는 여기(https://positive.security/blog/ms-officecmd-rce)서 열람이 가능하다. 이 페이지에는 연구원이 MS에 낸 원 보고서도 포함되어 있다.
3줄 요약
1. 윈도 10과 11에서 원격 코드 실행 취약점 발견됨.
2. MS는 처음에는 소셜엔지니어링 공격이니 상금의 대상이 되지 않는다고 대응.
3. 하지만 여러 차례 알리니 그제야 치명적 위험도의 취약점임을 인정.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 독일의 보안 전문가 2명이 윈도 10에서 드라이브 바이 코드 실행 취약점을 발견하고 공개했다. 이들에 의하면 MS에 해당 취약점을 미리 알렸으나 제대로 된 대응을 하지 않고 몰래 패치를 진행했다고 한다. 연구원들은 MS의 이런 대응과 태도를 크게 비판하기도 했다.
[이미지 = utoimage]
이번에 공개된 취약점은 브라우저 기반으로 발동되며, 피해자의 잘못된 클릭 한 번을 유도하는 것으로 충분히 익스플로잇 될 수 있다. 아규먼트를 주입하게 해 주는 취약점으로 ms-officecmd:URI와 관련이 있다. 데모 버전의 익스플로잇을 두 전문가가 공개한 상태인데, MS는 이 취약점의 심각성을 그리 심각하게 보고 있지 않으며, 따라서 취약점 발견에 따른 상금 역시 두 전문가에게 제대로 제공하지 않았다고 한다.
이 전문가의 이름은 파비안 브라운레인(Fabian Braunlein)과 쿠카스 율러(Kukas Euler)로 둘 다 보안 업체 포지티브 시큐리티(Positive Security) 소속이다. 이 둘이 발표한 기술 문서에 의하면 MS는 두 연구원들에게는 무성의한 반응을 보이고 5개월 동안 조용히 있다가 갑자기 아무도 모르게 패치를 진행했다고 한다. 그나마 패치도 제대로 되지 않은 것으로 분석됐다. “아직도 저희가 발견한 취약점은 윈도 11에 잔존해 있습니다.”
둘은 보고서를 통해 다음과 같이 썼다. “조작된 ms-officecmd:URI로 우회시키는 악성 웹사이트를 통해 5개월 전 저희가 발견한 코드 실행 취약점을 발동시킬 수 있습니다. URI 핸들러에 아규먼트를 주입할 수 있으며, 이를 통해 보안 장치들을 우회할 수도 있습니다.” 즉 부비트랩을 웹사이트에 설치하고 윈도 10/11 사용자를 유도하면 원격에서 코드를 실행할 수 있게 된다는 것이다.
둘은 이러한 내용을 상세하게 담아 MS로 전달했다. 하지만 MS와 소통하는 건 너무나 어려운 일이었다고 한다. “MS는 제일 처음 이 취약점이 소셜엔지니어링 공격일 뿐이라며 자신들의 규정과 맞지 않는다고 답해왔습니다. 그래서 저희가 여러 번 기술적 내용을 설명했더니, 그제야 치명적 위험도의 원격 코드 실행 취약점임을 인정했습니다. 하지만 이들이 저희에게 준 상금은 치명적 위험도를 가진 취약점에 해당하는 것이 아니었습니다.”
심지어 MS가 위험한 취약점에 대해 알고 있음에도 이를 공개하지 않는 것을 두 전문가는 이해할 수 없었다고 한다. “그래서 이 취약점에는 CVE 번호가 아직 붙어있지 않습니다. 일반 대중이 이 취약점에 대한 대비책을 마련할 수가 아예 없는 것이죠.”
두 전문가는 계속해서 MS에 연락을 했지만 대응은 항상 느렸으며, 대응하는 팀의 기술적 이해도가 낮아 도무지 대화를 이어가기가 힘든 수준이었다고 한다. “저희는 윈도 10 URI 핸들러의 취약한 부분을 탐구해보고자 결정했고, 불과 2주 만에 코드 실행 취약점을 찾아냈습니다. 윈도에서 URI 핸들러가 얼마나 많이 사용되는지 생각했을 때 이 취약점의 파급력은 꽤나 높을 것으로 예상하고 있습니다.”
두 전문가가 작성해 발표한 기술 보고서는 여기(https://positive.security/blog/ms-officecmd-rce)서 열람이 가능하다. 이 페이지에는 연구원이 MS에 낸 원 보고서도 포함되어 있다.
3줄 요약
1. 윈도 10과 11에서 원격 코드 실행 취약점 발견됨.
2. MS는 처음에는 소셜엔지니어링 공격이니 상금의 대상이 되지 않는다고 대응.
3. 하지만 여러 차례 알리니 그제야 치명적 위험도의 취약점임을 인정.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)