MS 365에서 취약점이 다량 발견됐다. 전부 위험한 취약점이기도 하다. 다만 이 취약점을 바라보는 MS의 시각은 조금 다른 듯하다.

[보안뉴스 문가용 기자] MS는 2022년6월 마이크로소프트 365를 통해 스케치업 3D 라이브러리(SketchUp 3D Library)를 지원하겠다고 발표했었다. 그리고 실제로 그런 기능을 추가했다. 하지만 그 과정에서 예상치 못한 취약점들도 다수 발생하게 된 것으로 보인다.


보안 업체 지스케일러(ZScaler)가 발표한 바에 따르면 스케치업과 관련된 MS 365 지원 기능에서 발견된 취약점은 무려 117개라고 한다. 이는 최근 3개월 동안 조사한 결과였다. 지난 해 12월에도 트렌드마이크로(Trend Micro)에서는 같은 곳에서 4개의 고위험군 원격 코드 실행 취약점을 발견해 공개한 바 있었다.

지스케일러가 발견한 취약점을 MS는 총 3개로 묶어 정리한 후 CVE 번호를 부여했다. CVE-2023-28285와 CVE-2023-29344, CVE-2023-33146이었다. 이 취약점들에 대한 패치는 지난 5월과 6월에 정기 업데이트를 통해 배포됐다. 하지만 지스케일러의 연구원들은 이 픽스들마저 공략하는 방법을 개발했으며, 따라서 패치가 큰 효력을 발휘하지 못한다는 걸 증명했다. 이에 MS는 올해 6월, 스케치업에 대한 지원을 중단하기에 이르렀다. 당시 MS는 이를 ‘일시적인 조치’라고 했지만 아직까지도 스케치업은 지원되지 않고 있다.

고위험군으로 분류된 CVE들
위에서 언급된 CVE-2023-28285, CVE-2023-29344, CVE-2023-33146은 전부 ‘원격 코드 실행’ 취약점으로 분류된다. 스케치업 파일인 .skp 파일들을 검사하는 과정에서 발동된다. MS는 지스케일러의 제보를 받고 취약점들을 검토했으며, 세 개를 전부 고위험군으로 분류했다. 초고위험도가 아닌 건 공격자가 피해자를 속여 악성 파일을 실행시키도록 만들어야 하기 때문이라고 한다.

MS는 취약점의 위험도를 평가할 때 ‘실제 익스플로잇 가능성’에 많은 비중을 두는 편이다. 즉 익스플로잇 난이도에 따라 취약점의 위험도가 결정된다는 건데, 이번 취약점들처럼 피해자의 특정 행위를 유발해야 하는 경우 난이도가 높다고 보는 편이다. 그렇기 때문에 MS의 자체 취약점 평가 점수는 일반적인 위험도 평가보다 낮은 편이다. 일반적으로 초고위험도로 분류되는 취약점이 MS에서는 고위험군으로 분류되는 경우가 적지 않다.

MS 365 사용자들이 워드나 엑셀, 아웃룩과 파워포인트 등에 3D 파일을 삽입할 때 사용할 수 있는 포맷이 크게 7가지로 정해져 있는데 그 중 많이 사용되는 것이 skp이다. 그 외에는 glb, fbx, obj, ply 등이 있다. 스케치업을 처음 개발한 건 라스트소프트웨어(Last Software)인데, 2006년 소유권이 구글로 넘어갔고, 현재는 트림블내비게이션(Trimble Navigation)이라는 회사가 보유하고 있다.

MS 365에 skp 파일을 첨부할 때 MS는 해당 파일을 검사부터 하는데, 이 과정에서 다양한 취약점들이 발동된다는 사실을 최근 알아냈다고 지스케일러의 수석 연구원인 카이 루(Kai Lu)는 설명한다. “MS가 스케치업 C API(SketchUp C API)들을 여러 개 활용하여 MS 365에서도 skp 파일이 호환되도록 하고 있다는 것을 먼저 알아낼 수 있었습니다. 이 부분에 착안하여 여러 가지 실험을 진행한 끝에 여러 가지 문제를 발견하게 됐습니다. 아직 패치가 나오기 전이라 상세히 설명하기는 어렵습니다.”

3줄 요약
1. MS 365에 스케치업 호환시키려던 MS, 취약점 잔뜩 유발.
2. 한 보안 업체에서는 100개 넘는 취약점 발견했으나, MS는 3개로 묶어서 정리.
3. 패치 한 번 됐으나 불완전해 현재는 스케치업 호환 기능 자체가 중단된 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>