MS의 패치 튜즈데이다. MS는 총 48개의 취약점을 패치했고, 이 중에는 이미 익스플로잇 되고 있는 것들이 있어 시급한 패치 적용이 필요하다. 초고위험도 취약점은 6개다. 그런데 회사들마다 이번에 패치된 취약점이 조금씩 다르다?

[보안뉴스 문가용 기자] 마이크로소프트가 48개 취약점들에 대한 패치를 발표했다. 그 중 하나는 공격자들이 활발히 익스플로잇 하는 중이라고 한다. 6개는 초고위험도로 분류됐다. 48개 중에는 지난 달 ‘긴급 패치’ 형태로 해결된 취약점들과, 구글 크로미움(Chromium) 브라우저 기술에서 발견된 23개 취약점들도 포함되어 있다. MS의 에지 브라우저가 크로미움을 기반으로 하고 있기 때문에 구글의 기술이지만 MS의 패치 내역에 포함되어 있다.


가장 시급한 패치가 필요한 취약점
이미 공격자들이 익스플로잇 하고 있던 취약점은 CVE-2022-44698이다. 하지만 오늘 발표된 초고위험도 취약점 6개 안에 들어가 있지는 않다. 이 취약점을 이용하면 공격자들은 윈도 스마트스크린(SmartScreen) 보안 장치를 피해갈 수 있게 된다. 스마트스크린은 인터넷으로부터 악성 파일이 다운로드 되는 것을 막아주는 기능을 가지고 있다.

보안 업체 이머시브랩스(Immersive Labs)의 위협 분석가인 케빈 브린(Kevin Breen)은 “익스플로잇이 실제 이뤄져서 그렇지 사실 그리 큰 문제는 아니”라고 CVE-2022-44698에 대해 말한다. “실제 익스플로잇에 대한 기록이 없었다면 패치 순위에서 뒤로 밀렸을 것입니다. 하지만 ‘이미 익스플로잇이 되고 있다’는 것 자체가 대단히 중요한 변수이긴 하지요. 그러므로 절대로 간과해서는 안 됩니다. 반드시 패치를 먼저 해야 합니다.”

제로데이 취약점은 하나 더 있다. CVE-2022-44710이라는 다이렉트엑스 그래픽스(DirectX Graphics) 커널의 권한 상승 취약점이다. MS보다 외부에서 먼저 알게 되면서 공개된 취약점이기 때문에 제로데이이긴 하지만 아직 실제 공격을 위해 익스플로잇 되지는 않았다고 한다. 이 취약점은 ‘고위험군’으로 분류되었다. 하지만 실제 익스플로잇 가능성은 그리 높지 않다고 MS는 발표했다.

그 외에도 우선순위가 높은 취약점들
보안 업체 트렌드마이크로의 경우 세 가지 취약점을 시급히 패치할 것을 권하고 있다. CVE-2022-44713, CVE-2022-41076, CVE-2022-44699다. CVE-2022-44713은 맥용 마이크로소프트 아웃룩의 스푸핑 취약점이다. 익스플로잇에 성공할 경우 공격자는 사용자를 사칭할 수 있게 되고, 이를 통해 피해자가 악성 이메일을 정상 이메일로 착각하도록 만들 수 있다. 트렌드마이크로의 더스틴 차일즈(Dustin Childs)는 “스푸핑 취약점을 높은 순위로 두지 않는 편이지만 이메일 클라이언트와 관련된 스푸핑 취약점이라면 다른 이야기”라며 시급한 패치가 필요하다고 강조했다.

CVE-2022-41076은 파워셸과 관련된 원격 코드 실행 취약점으로, 인증된 공격자가 파워셸 원격 세션 설정(PowerShell Remoting Session Configuration)을 빠져나와 임의의 명령을 실행할 수 있게 해 준다고 한다. MS는 “공격자들의 실제 익스플로잇 행위가 있을 가능성이 높은” 취약점으로 보고 있지만, 공격 난이도가 낮지는 않다고 발표했다. “요즘 공격자들은 리빙오프더랜드(living-off-the-land) 전략을 선호하는데, 이런 공격자들에게 이 취약점은 꽤 유용할 수 있습니다. 그러므로 익스플로잇 가능성은 높으며 간과할 수 없습니다.”

마지막으로 CVE-2022-44699는 일종의 보안 기능 우회 취약점이다. 애저 네트워크 왓처 에이전트(Azure Network Watcher Agent)와 관련이 있다. 익스플로잇에 성공할 경우 공격자들은 피해자 기업의 로그 저장 행위에 영향을 줄 수 있다. 로그에 손을 대면 피해자 기업이 사건 대응을 하는 데 적잖은 지장을 받게 된다.

그 밖의 초고위험도 취약점들은 다음과 같다.
1) CVE-2022-41127 : 마이크로소프트 다이내믹스 NAV(MS Dynamics NAV)와 온프레미스 버전의 MS 다이내믹스 365 비즈니스 센트럴(MS Dynamics 365 Business Central)에서 발견된 원격 코드 실행 취약점.
2) CVE-2022-44670 : 윈도 시큐어 소켓 터널링 프로토콜(SSTP)의 원격 코드 실행 취약점.
3) CVE-2022-44676 : 윈도 시큐어 소켓 터널링 프로토콜(SSTP)의 원격 코드 실행 취약점.

왜 숫자가 달라?
흥미로운 건 이번 정기 패치에 대해 기업들마다 다른 숫자를 말하고 있다는 것이다. 트렌드마이크로의 경우 52개 취약점이 패치됐다고 했다. 시스코의 탈로스(Cisco Talos) 팀은 48개, SANS 인스티튜트(SANS Institute)는 74개, 액션원(Action1)은 처음에는 74개였다가 나중에 52개로 하향 조정했다. 본지도 아침 요약 기사에서는 52개의 취약점이라고 썼다가 지금 이 기사에서는 48개로 바꿨다.

SANS 인스티튜트의 국장인 요하네스 울리히(Johannes Ullrich)는 “취약점을 세는 방법이 제각각이라서 그렇다”고 설명한다. “이번 패치의 경우 어떤 회사는 크로미움 브라우저 취약점을 같이 집계하기도 했고, 어떤 회사는 완전히 빼기도 했죠. SANS는 MS가 취약점 패치와 함께 발표하는 보안 권고문들을 취약점으로 세기도 합니다. 지난 정기 패치 이후에 나온 긴급 패치들을 이번 달 정기 패치에 포함시키는 회사도 있고 그렇지 않은 회사도 있고요.”

MS는 이번 정기 패치에 언급된 CVE들의 수는 48개라고 밝혔다.

3줄 요약
1. MS의 정기 패치일, 초고위험도 취약점은 6개.
2. 제로데이 취약점은 2개, 이미 익스플로잇 되고 있던 취약점은 그 중 1개.
3. 기업마다 취약점 세는 방식이 달라 이번 달 패치된 취약점 총수는 제각각.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>