[보안뉴스 문가용 기자] MS의 정기 패치일이다. 이번 달에는 86개의 취약점들이 다뤄졌는데, 윈도, 에지 브라우저, 애저, 오피스, 셰어포인트 서버, 윈도 DNS, 리눅스용 윈도 서브시스템 등의 MS 제품 및 서비스들이 영향을 받는 것으로 분석된다. 3개는 치명적 위험군, 62개는 고위험군, 1개는 중간 위험군으로 분류됐다.
[이미지 = utoimage]
현재 해커들의 활발한 공격을 받고 있는 취약점은 CVE-2021-40444로 MSHTML에서 발견된 제로데이 취약점이며, 지난 주에 보안 권고문을 통해 미리 공개된 바 있다. 그 때 당시 이미 해커들의 활발한 익스플로잇을 주의하라는 경고가 나왔었다. 그리고 위험을 줄일 수 있는 대책도 같이 제시됐었다.
공격자는 특수하게 조작된 액티브X 컨트롤을 오피스 파일에 임베드 한 후 피해자에게 보냄으로써 익스플로잇을 실시할 수 있게 된다. 피해자가 이 파일을 열면 악성 코드가 로그인한 피해자의 층위에 맞춰서 실행이 된다. 즉 사용자 권한이 높으면 높을수록 이 공격으로 인한 피해가 커지고 낮으면 낮을수록 어느 정도 예방이 된다는 것이다. 공격 자체가 어려운 건 아니나 사용자의 파일을 여는 실수가 반드시 필요하다.
이 취약점의 영향을 받는 건 윈도 7부터 윈도 10, 윈도 서버 2008부터 윈도 서버 2019까지다. MSHTML에서의 제로데이 취약점 소식은 최근 며칠 동안 크게 회자되었는데 다행히 아직까지 실질적인 해킹 공격에 대한 소식은 없는 상태다. 이제 패치가 나왔으니 적용하면 보다 안전해질 수 있다고 MS는 강조했다.
또 하나 눈에 띄는 취약점은 CVE-2021-36965다. 윈도 WLAN AutoConfig Service에서 발견된 원격 코드 실행 취약점이다. 익스플로잇에 성공할 경우 피해자와 같은 네트워크에 접속한 공격자가 시스템 권한을 가지고 코드를 실행할 수 있게 된다. 이 취약점은 치명적으로 위험한 것으로 분석됐다. 사용자의 ‘실수’ 같은 행위를 필요로 하지 않는다. 다만 공격자가 피해자와 같은 네트워크에 접속한 상태여야 한다.
CVSS 점수로 봤을 때 가장 심각한 취약점은 CVE-2021-38647이다. Open Management Infrastructure(OMI)에서 발견된 원격 코드 실행 취약점이다. CVSS 기준 9.8점을 받았다. 특수하게 조작한 메시지를 HTTPS를 통해 5986번 포트(WinRMport)로 전송하면 익스플로잇 된다. 익스플로잇에 성공하면 원격 코드 실행 공격이 가능하게 된다. 애저와 같은 외부 서비스들이 이 포트를 통해 활성화 되기 때문에 시급한 패치가 필요하다고 MS는 강조했다.
또 하나 중요한 취약점은 CVE-2021-36968이다. 윈도 DNS에서 발견된 권한 상승 취약점으로 CVSS 7.8점을 받았다. 아직 이 취약점에 대한 세부 내용은 아직 공개되지 않았지만 익스플로잇 난이도가 낮고 사용자의 개입이 전혀 필요치 않은 것으로 알려져 있다. 윈도 7과 윈도 서버 2008, 윈도 서버 2008 R2에 영향을 주는 취약점이라고 한다.
하지만 이번 정기 패치에는 ‘개요’가 빠져 있어 보안 담당자들의 불만이 크다. 보안 업체 트립와이어(Tripwire)의 R&D 담당자인 타일러 리걸리(Tyler Reguly)는 “개요는 취약점 패치 관리에 있어 가장 중요한 부분”이라며 “이번에 개요가 빠지는 바람에 현장에서 패치를 계획하고 진행하는 데 있어 상당한 어려움이 있다”고 썼다. “취약점에 대한 내용이 최대한 많이 전달되어야 현장에서 더 나은 결정을 할 수 있다”고 강조하기도 했다.
프린트 스풀러(Print Spooler)에서 발견된 취약점인 프린트나이트메어도 이번에 패치됐다. 지난 7월에 처음 발견된 이후 지금까지 꾸준히 문제가 되어 온 취약점으로 CVE-2021-38667, CVE-2021-38671, CVE-2021-40447이 현재까지 발견되어 왔다. 하지만 프린트 스풀러에 대한 연구가 아직도 진행되고 있어 프린트나이트메어란 이름을 가진 취약점은 앞으로 더 나올 수 있다.
3줄 요약
1. MS의 패치 튜즈데이, 이번 달에는 86개 취약점 해결됨.
2. 치명적 취약점이 3개, 이미 공격당하고 있는 취약점이 1개.
3. 프린트나이트메어 취약점과 MSHTML 엔진 취약점 모두 해결됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>