• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2022년의 스타트를 끊는 정기 패치, 시작부터 100개에 육박 2022.01.12

MS의 정기 패치일이다. 평년보다 2배 가까운 취약점들이 공개되고 또 해결됐다. 일종의 해프닝일지, 아니면 올해의 상황을 불길하게 예고하는 전조인지는 아직 아무도 모른다. 일단 위험한 취약점들부터 패치하는 게 시급하다.

[보안뉴스 문가용 기자] 마이크로소프트는 오늘 2022년 첫 번째 정기 패치를 발표했다. 이번 달은 100개에 조금 못 미치는 취약점들이 패치됐는데, 그 중 9개가 치명적 위험도를 가지고 있는 것으로 분석됐으며, 6개는 제로데이 취약점으로 분류됐다. 다행인 건 공격자들의 익스플로잇이 벌써부터 시작된 취약점은 하나도 없는 것으로 보인다는 것이다.

[이미지 = utoimage]


이번 달에 발표된 패치에 영향을 받는 마이크로소프트의 제품은 윈도, 에지 브라우저, 익스체인지 서버, 오피스, 다이내믹스, 닷넷 프레임워크, 오픈소스 소프트웨어, 윈도 디펜더, 윈도 하이퍼브이, 원격 데스크톱 프로토콜이다. 보안 업체 트렌드 마이크로(Trend Micro)의 더스틴 차일즈(Dustin Childs)는 “1월의 정기 패치 치고는 굉장히 많은 수의 취약점이 공개됐다”고 하며 “지난 몇 년 동안 1월에 발표된 패치의 수는 이것의 절반 수준이었다”고 말한다.

가장 눈에 띄는 취약점은 CVE-2022-21907로, HTTP 프로토콜 스택(Protocol Stack)에서 발견된 원격 코드 실행 취약점이다. 공격자는 http.sys를 사용해 특수하게 조작된 패킷을 피해자의 서버에 전송함으로써 공격을 실시할 수 있게 된다. 이 취약점이 강조되는 건 ‘워머블’이라는 특성 때문이다. 즉 자가 증식이 가능한 취약점이라는 것이다.

보안 업체 버섹(Virsec)의 수석 아키텍트인 대니 킴(Danny Kim)은 CVE-2022-21907에 대해 다음과 같이 설명한다. “HTTP에 필드값을 추가해 또 다른 메타데이터를 제공하도록 하는 기능에서 발견된 취약점입니다. 이 때 특수하게 조작된 필드값을 추가하면 원격 코드 실행 공격의 조건이 갖춰지도록 강제할 수 있게 됩니다. 익스플로잇 난이도는 낮은 편이며, 높은 권한을 요구하지도 않습니다. 심지어 피해자가 뭔가를 클릭하거나 열 필요도 없습니다. 패치를 빨리 적용하는 것만이 해결책입니다.”

그 다음으로 주목해야 할 취약점은 익스체인지 서버에서 발견된 CVE-2022-21846이다. 치명적 위험도를 가지고 있으며, 원격 코드 실행을 가능하게 한다. 그 외 CVE-2022-21969와 CVE-2022-21855도 중요하다. 고위험군에 포함된다. 세 취약점 모두 익스플로잇 난이도가 낮고, 높은 권한을 요구하지 않으며, 사용자의 클릭이나 파일 열기를 필요로 하지 않는다. MS는 이 세 가지 취약점 모두를 ‘익스플로잇 가능성 높음’으로 분류하고 있다.

CVE-2022-21840도 유의 깊게 메모해야 할 취약점이다. 마이크로소프트 오피스에서 발견된 원격 코드 실행 취약점으로, 위 취약점들과 마찬가지로 익스플로잇 난이도가 낮고 높은 권한을 필요로 하지 않는다. 다만 위 취약점들과 달리 피해자가 악성 링크를 클릭하거나 악성 파일을 여는 등의 작용을 해 주어야만 익스플로잇이 성사된다. 악성 이메일을 통해 특수하게 조작된 파일을 피해자에게 보내고, 이를 열도록 꾐으로써 공격하는 게 가능할 것이라고 MS는 보고 있다. 악성 웹사이트로 유인하는 방법도 활용 가능하다.

맥OS용 오피스 2019나, 맥용 오피스 LTSC 2021을 사용하는 사람들이라면 패치를 좀 더 기다려야 한다. MS는 “패치가 나오는 대로 CVE 관련 안내문을 통해 알리겠다”고 약속했다. 조만간 맥OS용 패치도 나올 것으로 예상된다.

여섯 개의 제로데이 취약점들 중 눈에 띄는 건 오픈소스 curl에서 발견된 원격 코드 실행 취약점인 CVE-2021-22947과 리브아카이브(Libarchive)에서 발견된 원격 코드 실행 취약점인 CVE-2021-36976이다. 둘 다 취약점 정보가 서드파티에 의해 미리 공개된 상황이고, 오늘에야 MS에 의해 공식적으로 패치가 됐다.

나머지 제로데이는 다음과 같다.
1) CVE-2022-21836 : 윈도 인증서 스푸핑 취약점
2) CVE-2022-21874 : 윈도 보안 센터 API 원격 코드 취약점
3) CVE-2022-21919 : 윈도 사용자 프로파일 서비스 권한 상승 취약점
4) CVE-2022-21839 : 윈도 이벤트 추적 접근 제어 서비스 거부 취약점

3줄 요약
1. 2022년을 알리는 첫 정기 패치인데, 무려 100개 가까이.
2. 치명적 위험도를 가진 취약점이 9, 제로데이 취약점이 6.
3. HTTP 스택 프로토콜에서 발견된 ‘워머블’ 취약점이 가장 위험해 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>