디펜더 취약점 악용, 윈도우 최고 권한 획득 가능

[보안뉴스 한세희 기자] 마이크로소프트 ‘디펜더’ 백신에서 새 제로데이 취약점 ‘로그플래닛’(RoguePlanet)이 발견됐다. 마이크로소프트는 이 취약점의 존재를 인정하고 수정 패치를 개발 중이라고 해커뉴스가 17일(현지시간) 보도했다.

이 취약점은 ‘카오틱 이클립스’(Chaotic Eclipse) 또는 MS나이트메어(MSNightmare)란 가명을 쓰는 익명의 보안 연구자가 개념증명(PoC)에 성공해 공개했다. 로그플래닛 취약점을 악용하면 공격자가 윈도우 시스템 최고 권한인 SYSTEM 등급 쉘을 획득해 시스템을 장악할 수 있다. 원격 코드 실행이나 임의의 명령 수행이 가능하다. CVSS 위험도는 7.8로 평가됐다.


▲익명의 보안 연구자가 마이크로소프트 디펜더 제로데이 취약점을 발견했다. [출처: MSNightmare깃허브]

이 취약점은 ‘경쟁 조건’(race condition)을 이용하기 때문에 항상 공격에 성공하지는 않는다. 일부 컴퓨터에선 100% 성공했지만, 다른 기기에선 제대로 작동하지 않았다고 이 연구자는 밝혔다. 경쟁 조건이란 시스템이 정상적 보안 검증 절차를 마치고 실제 파일을 실행하기 직전, 수 밀리 초 사이에 공격자가 끼어들어 다른 파일로 바꿔치기하는 수법이다. CPU 처리 속도나 메모리 상태, PC 성능 등 타이밍에 따라 공격 성공 여부가 갈린다.

카오틱 이클립스는 윈도우 디펜더의 실시간 보호 기능 활성화 여부에 상관 없이 PoC 코드가 작동한다고도 밝혔다.

마이크로소프트는 디펜더 내 마이크로소프트 멀웨어 프로텍션 엔진에 있는 이 취약점의 존재를 인지하고 이를 해결한 보안 업데이트를 위해 작업 중이라고 밝혔다.

이번 결함은 카오틱 이클립스가 디펜더에서 찾아낸 네번째 취약점이다. 이같은 잇단 취약점 공개 활동은 마이크로소프트가 취약점 익명 제보자들을 대하는 태도에 불만을 가진 보안 연구자가 항의의 뜻으로 풀이된다.

카오틱 이클립스는 마이크로소프트의 취약점 공개 처리 방식에 불만을 표하는 내용을 담은 블로그 게시물을 공개한 바 있다. 마이크로소프트가 보고서를 묵살하고 발견된 취약점에 대한 보상을 거부했다고 주장하며, 마이크로소프트 보안대응센터(MSRC) 계정을 정지시킨 것을 비판했다.

마이크로소프트는 이같은 방식의 취약점 공개 활동이 고객을 불필요한 위협에 빠뜨린다고 밝혔다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>