0패치, 제조사들 대신 작은 비공식 패치 배포하는 서비스
MS 윈도우 시스템의 취약점 세 가지...비공식적으로 공개되고 패치돼
[보안뉴스 문가용 기자] 원래의 제조사 대신 임시 패치를 제공하는 아크로스 시큐리티(ACROS Security)의 0패치(0patch) 서비스가 세 가지 윈도우 취약점들에 대한 비공식 패치를 발표했다. 마이크로소프트가 아직 패치하지 않은 취약점들로, 디도스 공격, 비승인 파일 접근, 코드 실행을 가능케 한다고 한다.
[이미지 = iclickart]
이 비공식 패치들은 지난 주부터 배포되기 시작했다. 하나는 윈도우 10에서 발견된 것으로, 권한이 낮은 로컬 프로세스를 통해 아무 파일이나 윈도우 오류 보고(Windows Error Reporting) XML 파일로 덮어쓰기를 할 수 있게 해준다고 한다.
이 오류의 경우 세부 사항이 공개된 것은 지난 달의 일이다. 온라인에서 샌드박스이스케이퍼(SandboxEscaper)라는 이름으로 활동하는 보안 전문가가 공개했다. 샌드박스이스케이퍼는 과거에도 몇 차례 윈도우 시스템의 취약점을 마이크로소프트에 보고하지 않고 공개한 바 있다. 그 자신은 취약점 관리 실태에 대한 불만 때문이라고 주장하고 있다.
파일의 내용을 덮어쓰기 할 수 있게 해주는 취약점들의 경우, 대부분 임의 코드 실행에 사용되는 것이 보통이다. 하지만 이번에 발견된 오류의 경우, 공격자에게 XML 파일의 내용에 대한 제어 권한이 거의 없으므로 디도스 공격 정도에만 활용될 수 있다고 한다. 주요 시스템 파일을 덮어쓰기 함으로써 일시 마비시킬 수 있는 것이다.
두 번째 취약점 역시 지난 달 샌드박스이스케이퍼가 패치할 시간도 주지 않고 공개한 것으로, 익스플로잇 될 경우 임의의 파일을 읽을 수 있게 해준다고 한다. 윈도우 인스톨러(Windows Installer)에서 발견됐으며, 민감한 정보를 탈취하는 데 활용할 수 있는 취약점이다.
마지막 취약점은 최근 제로데이 이니셔티브(ZDI)를 통해 보안 전문가 존 페이지(John Page)가 발견한 것으로, 마이크로소프트는 사전에 보고를 받았으나 픽스를 90일 안에 개발하지 않을 거라고 하는 바람에 공개된 것이다. 90일은 ZDI 측에서 정한 패치 개발 최대 기간이다.
이 오류의 경우 윈도우 컨택트(Windows Contacts) 애플리케이션에서 발견됐으며, 공격자들이 피해자들에게 조작된 VCF 파일을 전해주어 열도록 함으로써 임의의 코드를 실행할 수 있게 해준다. 마이크로소프트는 처음에는 이 취약점에 대한 패치를 하지 않을 것이라고 발표했지만, 그 후 마음을 바꿨다. 그러나 12월 다시 ZDI 측에 “패치하지 않을 것”이라고 통보했다.
0패치는 위 세 가지 취약점들에 대한 세부 내용과 패치들의 소스 코드도 함께 공유했다. “이번에 발표한 세 가지 임시 패치는 마이크로패치라고도 하는데, 프로세스나 장비를 재시작하지 않고도 적용할 수 있습니다.”
한편 아크로스의 0패치 서비스는 아직 베타 단계에 있다. 아크로스 측은 “곧 베타를 끝내고 정식 단계로 출시할 것”이라고 발표했다. 베타 단계에서도 0패치는 이미 다양한 ‘비공식’ 패치를 세상에 내놓은 바 있다.
3줄 요약
1. 마이크로소프트가 미처 패치하지 못한(혹은 안 한) 취약점 세 가지, 0패치가 임시로 해결.
2. 취약점 두 개는 샌드박스이스케이퍼라는 보안 전문가가 절차를 무시하고 발표함.
3. 0패치는 제조사들이 패치를 만들지 않는 경우 비공식 패치를 개발하는 서비스.
[국제부 문가용 기자(globoan@boannews.com)]
MS 윈도우 시스템의 취약점 세 가지...비공식적으로 공개되고 패치돼
[보안뉴스 문가용 기자] 원래의 제조사 대신 임시 패치를 제공하는 아크로스 시큐리티(ACROS Security)의 0패치(0patch) 서비스가 세 가지 윈도우 취약점들에 대한 비공식 패치를 발표했다. 마이크로소프트가 아직 패치하지 않은 취약점들로, 디도스 공격, 비승인 파일 접근, 코드 실행을 가능케 한다고 한다.
[이미지 = iclickart]
이 비공식 패치들은 지난 주부터 배포되기 시작했다. 하나는 윈도우 10에서 발견된 것으로, 권한이 낮은 로컬 프로세스를 통해 아무 파일이나 윈도우 오류 보고(Windows Error Reporting) XML 파일로 덮어쓰기를 할 수 있게 해준다고 한다.
이 오류의 경우 세부 사항이 공개된 것은 지난 달의 일이다. 온라인에서 샌드박스이스케이퍼(SandboxEscaper)라는 이름으로 활동하는 보안 전문가가 공개했다. 샌드박스이스케이퍼는 과거에도 몇 차례 윈도우 시스템의 취약점을 마이크로소프트에 보고하지 않고 공개한 바 있다. 그 자신은 취약점 관리 실태에 대한 불만 때문이라고 주장하고 있다.
파일의 내용을 덮어쓰기 할 수 있게 해주는 취약점들의 경우, 대부분 임의 코드 실행에 사용되는 것이 보통이다. 하지만 이번에 발견된 오류의 경우, 공격자에게 XML 파일의 내용에 대한 제어 권한이 거의 없으므로 디도스 공격 정도에만 활용될 수 있다고 한다. 주요 시스템 파일을 덮어쓰기 함으로써 일시 마비시킬 수 있는 것이다.
두 번째 취약점 역시 지난 달 샌드박스이스케이퍼가 패치할 시간도 주지 않고 공개한 것으로, 익스플로잇 될 경우 임의의 파일을 읽을 수 있게 해준다고 한다. 윈도우 인스톨러(Windows Installer)에서 발견됐으며, 민감한 정보를 탈취하는 데 활용할 수 있는 취약점이다.
마지막 취약점은 최근 제로데이 이니셔티브(ZDI)를 통해 보안 전문가 존 페이지(John Page)가 발견한 것으로, 마이크로소프트는 사전에 보고를 받았으나 픽스를 90일 안에 개발하지 않을 거라고 하는 바람에 공개된 것이다. 90일은 ZDI 측에서 정한 패치 개발 최대 기간이다.
이 오류의 경우 윈도우 컨택트(Windows Contacts) 애플리케이션에서 발견됐으며, 공격자들이 피해자들에게 조작된 VCF 파일을 전해주어 열도록 함으로써 임의의 코드를 실행할 수 있게 해준다. 마이크로소프트는 처음에는 이 취약점에 대한 패치를 하지 않을 것이라고 발표했지만, 그 후 마음을 바꿨다. 그러나 12월 다시 ZDI 측에 “패치하지 않을 것”이라고 통보했다.
0패치는 위 세 가지 취약점들에 대한 세부 내용과 패치들의 소스 코드도 함께 공유했다. “이번에 발표한 세 가지 임시 패치는 마이크로패치라고도 하는데, 프로세스나 장비를 재시작하지 않고도 적용할 수 있습니다.”
한편 아크로스의 0패치 서비스는 아직 베타 단계에 있다. 아크로스 측은 “곧 베타를 끝내고 정식 단계로 출시할 것”이라고 발표했다. 베타 단계에서도 0패치는 이미 다양한 ‘비공식’ 패치를 세상에 내놓은 바 있다.
3줄 요약
1. 마이크로소프트가 미처 패치하지 못한(혹은 안 한) 취약점 세 가지, 0패치가 임시로 해결.
2. 취약점 두 개는 샌드박스이스케이퍼라는 보안 전문가가 절차를 무시하고 발표함.
3. 0패치는 제조사들이 패치를 만들지 않는 경우 비공식 패치를 개발하는 서비스.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
