6월 패치 통해 공개된 CVE-2021-1675 취약점의 보안 업데이트가 어쩐지 잘 안 통한다 했다. 알고 보니 프린트나이트메어는 CVE-2021-1675가 아니었다. 그 누구도 몰랐던 제로데이 취약점이었다고 한다.
[보안뉴스 문가용 기자] 마이크로소프트가 지난 주 프린트나이트메어(PrintNightmare)라고 알려진 취약점에 새로운 CVE 번호를 부여했다. 이 프린트나이트메어 취약점은 윈도 프린트 스풀러(Windows Print Spooler)라는 서비스에서 발견된 것으로, 여태까지는 CVE-2021-1675로 알려져 있었다. MS는 프린트나이트메어가 CVE-2021-1675와 다른 취약점이라는 입장이다. 참고로 CVE-2021-1675는 6월에 이미 패치가 됐다.
[이미지 = utoimage]
프린트나이트메어는 원격 코드 실행을 가능케 하는 치명적 위험도의 취약점으로, 익스플로잇 코드가 이미 공개되는 바람에 미국의 정부 기관이 “인쇄를 진행하지 않는 윈도 시스템에서는 프린트 스풀러 서비스를 비활성화 시키라”는 권고를 내리기도 했었다. 이 때 언급된 취약점은 CVE-2021-1675였는데, MS는 7월 1일자로 “해당 취약점은 CVE-2021-34527이며, 더 많은 정보가 나오는 대로 공개하겠다”고 밝혔다.
애초에 미국 정부 기관이 ‘취약점 업데이트’가 아니라 프린트 스풀러를 비활성화 시키라고 한 건, CVE-2021-1675 패치가 취약점을 해결하지 못했기 때문이었다. 공공 기관조차 CVE-2021-34527이 아니라 CVE-2021-1675로 계속 언급한 건, 두 취약점 모두 프린트 스풀러 함수 중 하나인 RpcAddPrinterDriverEx()에서 나오는 것이기 때문이다.
MS가 CVE 번호를 추가로 부여하지 않았다면 6월 8일에 나온 패치가 불완전한 채로 배포됐다는 오명을 쓸 뻔했다. 이는 MS와 업데이트에 대한 전체적인 불신에 일조하는 것으로, MS는 이 취약점이 기존에 발견되지 않은 것이라고 해명함으로써 CVE-2021-34527이 제로데이라고 발표하는 쪽을 택했다.
MS는 두 취약점이 같은 함수에서 나오고 있지만 공격 방식이 다르기 때문에 다른 CVE로 분류해야 한다는 입장이다. 또한 아직 어떤 버전에서 이 프린트나이트메어 취약점 익스플로잇이 통하는지도 아직 다 밝혀지지 않은 상황이라고 한다. 현재까지 알려진 바 프린트나이트메어 취약점에 노출된 가장 위험한 자원은 도메인 제어기(domain controllers)다.
‘CVE-2021-34527은 CVE-2021-1675와 다르다’는 것만 밝혀졌지 해결책이 나온 건 아니다. 따라서 아직까지는 스풀러 서비스를 비활성화 하는 게 최선책이다. 그룹 폴리시(Group Policy)를 활용한 원격 인쇄 작업도 비활성화 시키는 것이 안전하다.
보안 업체 카스퍼스키(Kaspersky)의 보안 전문가인 보리스 라린(Boris Larin)은 “CVE-2021-1675는 권한 상승 공격을 가능하게 해 주는 취약점이고, 프린트나이트메어는 원격 코드 실행을 통한 장비 장악을 가능하게 해 주는 취약점”이라며 “뿌리가 같은 문제 2가지 중 하나를 완전힌 간과하는 일은 언제나 있을 수 있는 일”이라고 설명한다. 그러면서 “정식 패치가 나올 때까지 프린트 스풀러를 비활성시키는 게 좋다”는 것에 동조했다.
최근 몇 년 동안 프린트 스풀러 서비스에서는 여러 가지 취약점들이 발굴됐다. 그 중 가장 유명한 건 2010년 이란의 우라늄 농축 시설을 겨냥한 사이버 공격에 활용된 권한 상승 취약점으로, 이 공격은 스턱스넷(Stuxnet) 공격이라고도 불린다.
프린트나이트메어 취약점을 제일 먼저 발견한 건 중국 상포 테크놀로지스(Sangfor Technologies)의 보안 전문가들이다. 이들은 해당 취약점의 상세한 기술적 내용을 다가올 블랙햇 USA(Black Hat USA) 행사에서 공개할 예정이다. 이 전문가들은 잠깐 동안 깃허브를 통해 프린트나이트메어의 개념증명용 익스플로잇 코드를 공개했는데, 이 잠깐 동안 익스플로잇 코드가 복제돼 해커들의 손에 넘어갔다. 현재 프린트나이트메어를 겨냥한 실제 익스플로잇 공격이 진행되고 있다고 MS는 경고했다.
3줄 요약
1. 얼마 전 중국 보안 전문가들이 발견한 프린트나이트메어 취약점, 미국 정부도 나서서 경고.
2. 원래는 6월에 패치된 줄 알았던 취약점인데, 더 분석해 보니 별개의 제로데이 취약점.
3. 패치는 현재 개발되는 중. 완료될 때까지는 프린트 스풀러를 비활성화 시키는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트가 지난 주 프린트나이트메어(PrintNightmare)라고 알려진 취약점에 새로운 CVE 번호를 부여했다. 이 프린트나이트메어 취약점은 윈도 프린트 스풀러(Windows Print Spooler)라는 서비스에서 발견된 것으로, 여태까지는 CVE-2021-1675로 알려져 있었다. MS는 프린트나이트메어가 CVE-2021-1675와 다른 취약점이라는 입장이다. 참고로 CVE-2021-1675는 6월에 이미 패치가 됐다.
[이미지 = utoimage]
프린트나이트메어는 원격 코드 실행을 가능케 하는 치명적 위험도의 취약점으로, 익스플로잇 코드가 이미 공개되는 바람에 미국의 정부 기관이 “인쇄를 진행하지 않는 윈도 시스템에서는 프린트 스풀러 서비스를 비활성화 시키라”는 권고를 내리기도 했었다. 이 때 언급된 취약점은 CVE-2021-1675였는데, MS는 7월 1일자로 “해당 취약점은 CVE-2021-34527이며, 더 많은 정보가 나오는 대로 공개하겠다”고 밝혔다.
애초에 미국 정부 기관이 ‘취약점 업데이트’가 아니라 프린트 스풀러를 비활성화 시키라고 한 건, CVE-2021-1675 패치가 취약점을 해결하지 못했기 때문이었다. 공공 기관조차 CVE-2021-34527이 아니라 CVE-2021-1675로 계속 언급한 건, 두 취약점 모두 프린트 스풀러 함수 중 하나인 RpcAddPrinterDriverEx()에서 나오는 것이기 때문이다.
MS가 CVE 번호를 추가로 부여하지 않았다면 6월 8일에 나온 패치가 불완전한 채로 배포됐다는 오명을 쓸 뻔했다. 이는 MS와 업데이트에 대한 전체적인 불신에 일조하는 것으로, MS는 이 취약점이 기존에 발견되지 않은 것이라고 해명함으로써 CVE-2021-34527이 제로데이라고 발표하는 쪽을 택했다.
MS는 두 취약점이 같은 함수에서 나오고 있지만 공격 방식이 다르기 때문에 다른 CVE로 분류해야 한다는 입장이다. 또한 아직 어떤 버전에서 이 프린트나이트메어 취약점 익스플로잇이 통하는지도 아직 다 밝혀지지 않은 상황이라고 한다. 현재까지 알려진 바 프린트나이트메어 취약점에 노출된 가장 위험한 자원은 도메인 제어기(domain controllers)다.
‘CVE-2021-34527은 CVE-2021-1675와 다르다’는 것만 밝혀졌지 해결책이 나온 건 아니다. 따라서 아직까지는 스풀러 서비스를 비활성화 하는 게 최선책이다. 그룹 폴리시(Group Policy)를 활용한 원격 인쇄 작업도 비활성화 시키는 것이 안전하다.
보안 업체 카스퍼스키(Kaspersky)의 보안 전문가인 보리스 라린(Boris Larin)은 “CVE-2021-1675는 권한 상승 공격을 가능하게 해 주는 취약점이고, 프린트나이트메어는 원격 코드 실행을 통한 장비 장악을 가능하게 해 주는 취약점”이라며 “뿌리가 같은 문제 2가지 중 하나를 완전힌 간과하는 일은 언제나 있을 수 있는 일”이라고 설명한다. 그러면서 “정식 패치가 나올 때까지 프린트 스풀러를 비활성시키는 게 좋다”는 것에 동조했다.
최근 몇 년 동안 프린트 스풀러 서비스에서는 여러 가지 취약점들이 발굴됐다. 그 중 가장 유명한 건 2010년 이란의 우라늄 농축 시설을 겨냥한 사이버 공격에 활용된 권한 상승 취약점으로, 이 공격은 스턱스넷(Stuxnet) 공격이라고도 불린다.
프린트나이트메어 취약점을 제일 먼저 발견한 건 중국 상포 테크놀로지스(Sangfor Technologies)의 보안 전문가들이다. 이들은 해당 취약점의 상세한 기술적 내용을 다가올 블랙햇 USA(Black Hat USA) 행사에서 공개할 예정이다. 이 전문가들은 잠깐 동안 깃허브를 통해 프린트나이트메어의 개념증명용 익스플로잇 코드를 공개했는데, 이 잠깐 동안 익스플로잇 코드가 복제돼 해커들의 손에 넘어갔다. 현재 프린트나이트메어를 겨냥한 실제 익스플로잇 공격이 진행되고 있다고 MS는 경고했다.
3줄 요약
1. 얼마 전 중국 보안 전문가들이 발견한 프린트나이트메어 취약점, 미국 정부도 나서서 경고.
2. 원래는 6월에 패치된 줄 알았던 취약점인데, 더 분석해 보니 별개의 제로데이 취약점.
3. 패치는 현재 개발되는 중. 완료될 때까지는 프린트 스풀러를 비활성화 시키는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
