패치 튜즈데이의 차례가 어김없이 찾아왔다. 연속 2개월 제로데이 없는 패치 튜즈데이라 조금은 마음이 홀가분하다. 하지만 총 취약점의 수가 50개에 육박해 패치 부담이 적지는 않다.

[보안뉴스=자이 비자얀 IT 칼럼니스트] 마이크로소프트가 2024년 첫 패치 튜즈데이를 진행했다. 48개의 CVE들이 언급되고 해결됐는데, 초고위험도를 가진 것은 단 두 개인 것으로 분석됐다. 제로데이 취약점은 지난 달과 마찬가지로 없었다. 따라서 지금으로서는 보안 담당자들이 MS 생태계에서 완전히 새로운 취약점에 대응해야 할 필요는 없다. 공개된 것만 잘 패치하면 될 것이라고 한다.


초고위험도 취약점은 단 두개
MS의 정기 패치가 늘 그렇지만 이번 달 패치도 여러 제품들에 적용된다. 취약점의 종류도 다양해 권한 상승, 원격 코드 실행, 보안 장치 우회 등의 공격을 가능하게 하는 것으로 분석됐다. 48개 중 46개는 고위험군으로 분류됐다. 하지만 전부 익스플로잇 가능성이 높은 건 아니라고 한다.

가장 시급히 패치해야 하는 건 초고위험도 취약점인데, 그 중 하나는 CVE-2024-20674이다. 윈도 OS의 보안 기능인 커베로스(Kerberos)를 우회할 수 있게 해 주는 취약점이다. 공격자들은 이 취약점을 통해 정상 사용자를 사칭할 수 있게 된다. 보안 업체 퀄리스(Qualys)의 취약점 연구 책임자인 사이드 아바시(Saeed Abbasi)는 “중간자 공격을 통해 이 취약점을 익스플로잇 하는 게 가능하다”고 말한다. “로컬 네트워크를 스푸핑 한 후 악성 커베로스 메시지를 발송해 클라이언트 장비가 ‘정상적으로 커베로스 인증을 거친 서버와 통신하고 있다’고 여기게끔 할 수 있습니다.”

취약점을 익스플로잇 하는 데 성공하려면 공격자와 피해자 장비가 같은 로컬 네트워크에 접속해 있어야 한다. 즉 원격 익스플로잇이 가능한 취약점은 아니라는 것이다. 그렇다고 장비 그 자체에 물리적으로 접근해야 하는 건 아니다. 같은 로컬 망 안에만 있다면 공격이 가능하다. “실제 공격에 제한이 되는 사안일 수 있습니다. 하지만 공격을 불가능하게 만드는 건 아닙니다.”

보안 업체 이머시브랩스(Immersive Labs)의 수석 연구원인 켄 브린(Ken Breen)은 “CVE-2024-20674는 빠른 패치가 필요한 취약점”이라고 말한다. “보안 기능을 우회할 수 있게 해 주고, 그럼으로써 공격 표적이 되는 시스템을 속일 수 있게 해 주는 취약점은 공격자들이 항상 선호합니다. 특히 어떻게 해서든 침투하는 데 성공해야 하는 랜섬웨어 운영자들과 최초 접근 브로커들은 어떤 제약 사항도 극복하곤 합니다.”

두 번째 초고위험도 취약점은 CVE-2024-20700이다. 윈도 하이버 가상화(Hyper-Virtualization) 기술에서 발견된 것으로 원격 코드 실행 공격을 가능하게 한다. 하지만 익스플로잇 난이도가 낮은 건 아니다. 공격자가 피해자의 네트워크에 이미 침투해 있는 상태에서만 익스플로잇이 되기 때문이다. 심지어 취약한 컴퓨터가 근처에 있어야만 한다고 이머시브랩스의 보안 엔지니어 벤 맥카시(Ben McCarthy)는 설명한다. “게다가 경합 조건이라는 것도 따라붙습니다. 이런 취약점들은 공격자들이 까다로워합니다.”

원격 코드 실행 취약점부터 다뤄야
이 두 가지 초고위험도 취약점 외에 보안 전문가들은 두 가지 취약점도 유의할 것을 권면한다.
1) CVE-2024-21307 : 윈도 원격 데스크톱 클라이언트의 원격 코드 실행 취약점
2) CVE-2024-21318 : 셰어포인트 서버에서 발견된 원격 코드 실행 취약점

CVE-2024-21307의 경우 MS는 “실제 익스플로잇 가능성이 훨씬 높다”고 분석한다. 하지만 그 이유에 대해서는 공개하지 않았다. “이 취약점의 경우 공격자는 사용자가 접속하기를 기다려야지만 익스플로잇이 가능합니다. 즉 공격자가 악성 RDP 서버를 생성하고 소셜엔지니어링 기법을 활용해 피해자가 접속하도록 유도해야 한다는 뜻입니다. 물론 대단히 어려운 일은 아닙니다. 조금 귀찮을 수는 있지만요.”

그 외에도 주의해야 할 취약점
또 주의해야 할 취약점들이 있는데 바로 권한 상승 공격을 가능케 하는 것들이다. 특히 주의해야 할 것은 CVE-2023-21310으로, 윈도 클라우드 파일 미니 필터 드라이버(Windows Cloud Files Mini Filter Driver)에서 발견된 것이다. CVE-2023-36036이라는 제로데이 취약점과 비슷한 특성을 가지고 있다. 참고로 CVE-2023-36036은 2023년 11월 보안 업데이트를 통해 공개된 바 있다.

“지난 CVE-2023-36036은 공격자들이 로컬 컴퓨터 내에서 높은 권한을 얻기 위해 마음껏 익스플로잇 하던 것이었습니다. 이번에 새롭게 발견된 CVE-2023-21310도 비슷한 목적으로 활용될 겁니다. 이런 류의 권한 상승 취약점은 공격자들이 상당히 좋아하는 것으로, 일단 침투에 성공한 공격자가 운신의 폭을 크게 넓힐 수 있게 해 준다는 특성을 가지고 있습니다. 높은 권한을 주면 줄수록 공격자는 아무 거나 할 수 있게 됩니다.” 브린의 설명이다.

또 다른 권한 상승 취약점 중 눈에 띄는 건 다음과 같다.
1) CVE-2024-20653: 윈도 커먼 로그 파일 시스템(Windows Common Log File System)에서 발견된 권한 상승 취약점
2) CVE-2024-20698 : 윈도 커널(Windows Kernel)에서 발견된 권한 상승 취약점
3) CVE-2024-20683 : Win32k에서 발견된 권한 상승 취약점
4) CVE-2024-20686 : Win32k에서 발견된 권한 상승 취약점

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>