MS의 패치 튜즈데이다. 상당히 많은 수인 130개가 이번 패치를 통해 다뤄졌다. 제로데이가 무려 5개나 되고, 초고위험도 취약점이 9개다. 우선 이것들부터 패치하는 게 안전할 것으로 보인다.

[보안뉴스 문가용 기자] 마이크로소프트가 7월 정기 패치를 발표했다. 무려 130개의 취약점에 대한 픽스가 포함되어 있는데, 그 중 5개는 이미 공격자들이 활발히 익스플로잇 하는 중이라고 한다. 130개 중 9개는 초고위험도로 분류됐고, 121개는 고위험군과 중위험군에 분포되어 있다. MS에서 나오는 제품인 윈도, 오피스, 닷넷, 애저 액티브 디렉토리, 프린터 드라이버, DMS 서버, 원격 데스크톱에 고루 영향을 주며, 원격 코드 실행, 보안 솔루션 우회, 권한 상승, 정보 노출 등의 공격을 가능하게 한다.


트렌드마이크로(Trend Micro)의 제로데이이니셔티브(Zero Day Initiative, ZDI)를 이끄는 더스틴 차일즈(Dustin Childs)는 “130이라는 숫자는 요 근래 MS 정기 패치에서 나온 것 중 가장 크다”고 설명한다. “물론 MS가 매달 적은 수의 취약점을 패치한 기업은 아닙니다. 100개를 넘는 취약점의 패치를 발표한 것이 처음도 아니고요. 다만 이렇게까지 많았던 적이 드물다는 겁니다.”

이 많은 취약점들 중 단연 우선적인 관심을 받고 있는 건 5개의 제로데이다. 다음과 같다.
1) CVE-2023-36884 : 오피스와 윈도 HTML에서 발견된 원격 코드 실행 취약점. 이번 달에는 취약점만 공개됐지 픽스가 나오지 않았다. 북미와 유럽의 조직들을 공략하는 데 활용되고 있다. NATO 정상회담에 참석하는 전문가와 조직들도 공격 대상이다.

2) CVE-2023-35311 : 마이크로소프트 아웃룩에서 발견된 보안 장치 우회 취약점.
3) CVE-2023-32049 : 윈도 스마트스크린에서 발견된 보안 장치 우회 취약점.
보안 업체 액션원(Action1)의 부회장 마이크 월터스(Mike Walters)는 이 두 가지 취약점을 익스플로잇 하려면 피해자가 파일을 열거나 링크를 클릭하는 등의 행동을 취해야 한다고 설명한다. 또한 단독으로는 크게 쓸모가 없지만 다른 취약점들과 연계된다면 강력해질 수 있다고도 경고했다.

4) CVE-2023-36874 : 윈도 에러 리포팅(WER) 서비스에서 발견된 권한 상승 취약점. 익스플로잇을 위해서는 공격자가 로컬에 있어야만 하지만 크리덴셜을 훔치거나 다른 취약점을 연계하여 익스플로잇 하면 이 문제를 해결할 수 있다.

5) CVE-2023-32046 : 윈도 MSHTM 플랫폼에서 발견된 권한 상승 취약점. 역시 피해자가 링크를 누른다든지 파일을 연다든지 하는 행동을 취해야만 익스플로잇이 된다. 악성 웹사이트를 미리 만들어 멀웨어를 호스팅한 뒤 피해자를 유도할 수도 있다.

원격 코드 실행 취약점들
이번에 패치된 취약점들 중 원격 코드 실행 취약점들에도 관심이 필요하다고 보안 전문가들은 경고한다. 윈도 라우팅 및 원격 접근 서비스(RRAS)에서 발견된 것들로 다음과 같다.
1) CVE-2023-35365
2) CVE-2023-35366
3) CVE-2023-35367

이 세 취약점 전부 9.8점을 받았다. 다행인 점은 RRAS라는 서비스가 윈도 서버 환경에서 기본적으로는 활성화 되어 있지 않은 상태라는 것이다. 하지만 활성화 되어 있는 상태에서 익스플로잇 공격이 성공하게 된다면 공격자가 네트워크 설정을 마음대로 바꾸고, 데이터를 훔치는 등 여러 악성 행위를 실시할 수 있게 된다.

셰어포인트 서버의 오류들
최근 공격자들이 즐겨 노리는 셰어포인트 서버에서도 원격 코드 실행 취약점 4개가 발견됐다. 이 중 2개는 초고위험도, 2개는 고위험도로 분류됐다.
1) 고위험도 : CVE-2023-33134, CVE-2023-33159
2) 초고위험도 : CVE-2023-33157, CV-2023-33160

보안 업체 실버포트(Silverfort)의 수석 연구원인 요아브 이엘린(Yoav Iellin)은 “네 개의 취약점 모두 익스플로잇을 위해서는 인증 과정을 통과해야 하거나, 피해자가 뭔가를 해 줘야 한다”며 “익스플로잇 시 피해는 클 수 있지만, 익스플로잇 자체가 쉬운 건 아니”라고 설명한다. “하지만 셰어포인트에는 민감한 정보가 여럿 들어있죠. 데이터만 있다면 공격자들은 난이도를 크게 따지지 않기도 합니다. 그러니 패치를 서두르는 게 좋습니다.”

3줄 요약
1. MS, 7월 정기 패치 통해 130개 취약점 해결.
2. 가장 위험한 제로데이 취약점은 아직 패치가 개발되지 않음.
3. 제로데이와 원격 코드 실행 취약점부터 패치하는 게 안전할 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>