독립 연구원 카오틱 이클립스, 패치되지 않은 채 방치된 치명적 결함 발표
5월 최신 업데이트 마친 윈도우 11에서도 작동 확인되며 패치 롤백 의혹 제기

[보안뉴스 김형근 기자] 마이크로소프트(MS)가 공식적으로 해결했다고 발표한 보안 결함이 수년간 방치되면서 최신 윈도우 시스템을 위협하고 있다. 지난 2020년 구글이 발견한 취약점을 악용한 신종 제로데이 ‘미니플라즈마’(MiniPlasma)가 공개되면서, 엔드포인트 보안에 적신호가 켜졌다.


최근 윈도우 결함인 옐로우키와 그린플라즈마를 규명한 독립 보안 연구원 카오틱 이클립스(Chaotic Eclipse)는 윈도우 시스템 최고 권한을 탈취할 수 있는 ‘미니플라즈마’(MiniPlasma) 제로데이 취약점의 개념증명(PoC) 코드를 공개했다.

이번 보안 취약점은 윈도우 클라우드 파일 미니 필터 드라이버인 ‘cldflt[.]sys’ 내부의 특정 루틴(HsmOsBlockPlaceholderAccess)에서 발생한다. 충격적인 지점은 이 결함이 새로운 것이 아니라는 점이다. 해당 취약점은 지난 2020년 구글이 발견했고, 같은 해 MS의 정기 업데이트를 통해 해당 결함을 해결했다고 발표한 바 있다.

그러나 카오틱 이클립스의 조사 결과, 해당 패치는 현재 작동하지 않은 상태인 것으로 들어났다. MS가 당시 패치를 제대로 완료하지 않았거나, 알 수 없는 이유로 패치 내용이 롤백됐을 가능성이 크다는 지적이다. 실제로 이들은 과거 구글이 작성했던 최초의 PoC 코드가 단 한 줄의 수정 없이 현재의 최신 윈도우 시스템에서도 시스템 셸(SYSTEM shell)을 구동하며. 최고 권한을 달취하는 데 성공했다.

이번 미니플라즈마 코드는 시스템 내부의 타이밍을 노리는 경쟁 조건(Race Condition) 오류를 활용하기 때문에 실행 환경에 따라 성공 확률에 차이가 존재한다. 유명 보안 전문가 윌 도만이 소셜미디어를 통해 올해 5월 최신 보안 업데이트를 모두 마친 윈도우 11 환경에서도 미니플라즈마가 완벽히 구동돼 최고 권한의 명령 프롬프트를 강제로 실행할 수 있음을 직접 검증하면서 파장이 커지고 있다.

현재 유통 중인 거의 모든 버전의 윈도우에서 미니플라즈마 제로데이의 사각지대에 노출된 것으로 관측된다. 다만 최신 인사이더 프리뷰 카나리(Insider Preview Canary) 버전의 윈도우 11에서는 해당 공격이 통하지 않는 것으로 확인됐다.

한편, MS는 지난해 12월 동일한 동일한 드라이버 컴포넌트에서 해커들이 악용하던 또 다른 권한 상승 결함(CVE-2025-62221)을 수정한 바 있어, 해당 드라이버 모듈을 둘러싼 코드 무결성 점검이 시급하다는 지적이 나온다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>