윈도우 시스템 파일 경로 리다이렉션하는 정션 기능 악용... 공격자가 시스템 권한으로 악성 코드 실행

[보안뉴스 김형근 기자] 기업용 취약점 진단 플랫폼인 테너블(Tenable)의 윈도우용 ‘네서스 에이전트’(Nessus Agent)에서 공격자가 시스템 권한으로 악성 코드를 실행할 수 있는 보안 결함이 노출됐다.


[출처: gettyimagesbank]

이번 취약점은 윈도우 시스템의 파일 경로를 리다이렉션하는 정션(Junction) 기능을 악용한다. 이는 소위 ‘심볼릭 링크 공격’(Symlink Attack)으로 불리는 교활한 권한 상승 수법이다. 공격자는 네서스 에이전트 서비스가 파일 작업을 수행할 때 가짜 정션을 심어, 서비스가 의도치 않은 시스템 파일을 무차별적으로 삭제하도록 유도할 수 있다.

파일 삭제에 성공한 공격자는 악성 페이로드를 심어 넣는다. 이를 통해 윈도우의 핵심인 시스템 컨텍스트 권한을 확보하고 코드를 직접 구동함으로써, 보안 체계를 무력화하는 위협을 가한다. 일반 관리자 계정을 압도하는 시스템 권한을 탈취한 공격자는 보안 도구를 지체 없이 무력화한다. 이들은 루트킷(Rootkit)을 심어 시스템을 장악하며, 재부팅 후에도 활동을 지속한다.

네서스 에이전트는 주로 기업의 민감한 서버와 워크스테이션에 설치돼 지속적인 스캔을 수행하기 때문에, 이 취약점이 악용되면 기업 전체의 안보 포지션이 무방비 상태로 무너질 수 있다.

테너블은 이 문제를 해결한 네서스 에이전트 11.1.3 버전을 출시했다. 그리고 노출 기간을 최소화하기 위해 모든 사용자가 지체 없이 업그레이드할 것을 강력히 권고했다.

보안 관리자들은 특히 외부 인터넷과 연결된 윈도우 시스템이나 고부가가치 자산에 설치된 에이전트의 업데이트를 우선순위에 두어야 한다.

이번 사건은 신뢰받는 보안 도구조차 교활한 공격자의 통로가 될 수 있음을 보여주며, 보안 인프라 자체에 대한 정밀한 무결성 검증이 얼마나 중요한지 각인시킨 사례다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>