MS가 정기 패치를 진행했다. 이번 달에는 공격자들이 먼저 익스플로잇을 시작한 제로데이 취약점 1개와, 악명 높은 프린트 스풀러 취약점 4개가 특히 눈에 띈다. 그 외에도 빠르게 패치해야 할 취약점들이 네 개 더 있다.

[보안뉴스 문가용 기자] 마이크로소프트가 7월 정기 패치일을 맞아 84개의 취약점에 대한 패치를 완료해 배포하기 시작했다. 이미 익스플로잇 되고 있는 권한 상승 제로데이 취약점 1개, 작년부터 계속해서 MS의 골칫거리가 되고 있는 프린트 스풀러(Print Spooler)에서 발견된 신규 취약점 4개, 애저 사이트 리커버리(Azure Site Recovery) 서비스의 취약점 30개 이상이 포함되어 있다. 원격 코드 실행 취약점은 12개, 정보 노출 취약점은 11개, 보안 장치 우회 취약점은 4개다. 나머지는 권한 상승 취약점이라고 한다.


MS의 패치를 검토한 보안 전문가들이 꼽는 ‘가장 시급히 패치해야 할 취약점’은 CVE-2022-22047이다. 윈도 클라이언트 서버 런타임 서브시스템(Windows Client Server Run-time Subsystem, CSRSS)에서 발견된 권한 상승 취약점이다. 현재 이미 공격자들이 발견해 익스플로잇을 하고 있다. MS는 이 취약점을 ‘고위험군’으로 분류하고 있다(7.8/10). 실제 익스플로잇이 이어지고 있기 때문에 정보가 공개되지는 않았다.

하지만 트렌드마이크로 제로데이 이니셔티브(Trend Micro Zero Day Initiative)의 블로그에는 해당 취약점에 대한 설명이 간략히 나와 있다. “취약점 익스플로잇에 성공한 공격자는 시스템(SYSTEM) 권한을 취득하여 코드를 실행할 수 있게 됩니다. 이런 유형의 버그들은 보통 코드 실행 취약점과 엮여서 같이 사용됩니다. 그런 공격이 성공할 경우 시스템 전체 장악으로 이어지기도 하죠.”

보안 업체 이반티(Ivanti)의 제품 부문 부회장인 크리스 고에틀(Chris Goettl)은 “해당 취약점을 MS가 초고위험군이 아니라 고위험군으로 분류했는데, 여기에 속으면 안 된다”고 강조한다. “이 취약점의 핵심은 이미 공격자들이 익스플로잇을 시작했다는 겁니다. 기술적으로는 고위험군에 그칠 수도 있습니다만 전체적 맥락에서는 그렇지 않습니다. 보다 시급한 패치 적용이 필요합니다.”

그 외에도 시급히 해결해야 할 것들
제로데이 취약점 다음으로 시급히 패치해야 할 취약점들은 다음과 같다.
1) CVE-2022-30216 : 윈도 서버 서비스(Windows Server Service)에서 발견된 원격 인증서 업로드 취약점으로 익스플로잇 난이도가 낮다. MS도 익스플로잇 가능성이 높은 취약점으로 분류하고 있으며, 사용자 개입이 전혀 필요없다.

2) CVE-2022-22038 : RPC(Remote Procedure Call) 런타임에서 발견된 원격 코드 실행 취약점으로 인증을 통과하지 않은 공격자가 악성 코드를 임의로 실행할 수 있게 해 준다. 익스플로잇 난이도는 높은 편이다. 하지만 워머블(wormable) 특성을 가지고 있어 위험하다.

3) CVE-2022-30221 : 윈도 그래픽 컴포넌트(Windows Graphics Component)의 원격 코드 실행 취약점으로 사용자를 속여 악성 RDP 서버로 연결하도록 함으로써 익스플로잇 된다. 성공할 경우 침해된 사용자 권한에 맞는 코드를 실행할 수 있게 된다.

4) CVE-2022-30222 : 윈도 셸(Windows Shell) GUI에서 발견된 원격 코드 실행 취약점이다. 로그인 화면을 일정 방법으로 조작할 경우 코드를 실행시킬 수 있게 된다. 난이도가 낮고 사용자의 개입이 전혀 필요 없기 때문에 익스플로잇 가능성을 높게 보고 있다.

윈도 프린트 스풀러, 여전한 골칫거리
이번 달에는 윈도 프린트 스풀러(Windows Print Spooler)의 취약점이 새롭게 네 개나 발견됐다. CVE-2022-22022, CVE-2022-22041, CVE-2022-30206, CVE-2022-30226으로, 프린트 스풀러는 최근 수개월 동안 MS 윈도 생태계에서 가장 골치 아픈 취약점으로 손꼽혀 왔었다. 프린트 스풀러에서 발견된 취약점 중 가장 많이 언급된 건 프린트나이트메어(PrintNightmare)라는 원격 코드 실행 취약점이다. 

고에틀에 따르면 “이번에 발견된 네 개의 프린트 스풀러 취약점을 패치하면 인쇄 기능 자체에 영향을 줄 수 있다”고 한다. “프린트나이트메어가 나타난 이후 MS는 꽤나 많은 프린트 스풀러 관련 픽스들을 발표했습니다. 하지만 그 어떤 취약점도 패치가 인쇄 기능에 영향을 주는 사례는 없었습니다. 때문에 여태까지 프린트 스풀러 패치를 손쉽게 진행한 관리자라 하더라도 이번에는 실험을 먼저 해 보는 것이 좋을 것입니다.”

애저 사이트 리커버리의 취약점들
고에틀은 이번에 애저 사이트 리커버리(Azure Site Recovery)라는 서비스에서 취약점이 33개나 발견되고 패치됐다는 점을 지적하기도 한다. “공격자들이 다양한 악성 행위를 할 수 있게 해 주는 취약점들입니다. 다행히 공격자들 편에서 미리 알아버린 취약점은 없고, 당연히 익스플로잇 되고 있는 취약점도 없습니다. 하지만 한 서비스에서 너무 많은 취약점이 나왔다는 불안감은 있습니다.”

이 취약점들을 찾아낸 건 외부 보안 전문가들이 대부분이라고 한다. “그렇다는 건 애저 사이트 리커버리라는 게 꽤나 은밀한 가운데 비교적 광범위하게 연구되고 있다는 뜻으로 볼 수 있습니다. 조만간 여기서 제로데이 취약점이 나온다고 해도 이상하지 않습니다.”

3줄 요약
1. 7월 MS 정기 패치, 총 84개의 취약점 해결됨.
2. 이미 익스플로잇 되고 있는 취약점 1개가 가장 시급히 패치되어야 함.
3. 그 외에도 시급한 4개와 프린트 스풀러 취약점 4개 순서로 패치하는 걸 권장.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>