윈도우 작업 관리자의 ALPC 인터페이스에서 중요한 취약점 나와
패치 없는 상황인데 한 전문가가 익스플로잇 코드 공개

[보안뉴스 문가용 기자] 마이크로소프트 윈도우의 작업 관리자에서 취약점이 발견됐다. 로컬의 사용자가 권한을 높일 수 있게 해주는 취약점이다.


이 권한 상승 취약점의 정확한 위치는 윈도우 작업 관리자의 고급 로컬 절차 호출(Advanced Local Procedure Call, ALPC) 인터페이스이다. 로컬 사용자가 SYSTEM 권한을 얻을 수 있게 된다고 8월 27일자 CERT 권고문은 설명하고 있다.

“마이크로소프트 윈도우의 작업 관리자에는 ALPC 처리와 관련된 취약점이 포함되어 있습니다. 이 취약점을 통해 로컬의 사용자가 SYSTEM 권한을 취득하는 게 가능해집니다. 현재 공개되어 있는 익스플로잇 코드가 윈도우 10 64비트 시스템과 윈도우 서버 2016 시스템에서 작동한다는 걸 확인할 수 있었습니다.”

아직까지 이 부분에 대한 확실한 해결책은 없는 것으로 알려져 있다.

보안 업체 플릭서(Plixer)에서 감사와 규정 준수를 담당하고 있는 저스틴 젯(Justin Jett)은 해외 보안 매체인 SC 매거진과의 인터뷰를 통해 “네트워크 사용자들의 행동이 더욱 조심스러워져야 할 것”이라고 일단의 대책을 설명했다.

“최근 개념증명 코드가 트위터를 통해 공개된 바 있습니다. 스스로 전문가라고 밝히고 있는 샌드박스이스케이퍼(SandboxEscaper)라는 인물이 개발하고 공개한 것이죠. 그런데 악의적인 사용자들이 이 개념증명을 활용하면 조직 내 네트워크에 침투해 귀중한 정보를 가져오는 게 가능하게 됩니다.”

그러면서 젯은 윈도우 10을 사용하는 조직들의 경우 네트워크 트래픽 분석을 강화하고, 비정상 트래픽이 발생하는 걸 민감하게 지켜봐야 한다고 강조했다. 또한 사용자들이 그동안 하지 않았던 행동을 할 때도 수상하게 여기고 조사를 시작해야 한다고 권장했다.

이번에 발견된 취약점이 실제로 익스플로잇 될 경우 사용자의 행동에서 변화가 나타나고, 이전에 보이지 않았던 패턴이 발견될 것이라고 젯은 설명했다. 그러나 이는 근본적인 해결책이 될 수 없다.

전문가들은 “결국 마이크로소프트가 패치를 내놓을 때까지 기다려야 한다”고 말한다. 그러나 다음 달 패치 튜즈데이(Patch Tuesday)가 9월 11일이라, 늦을 수 있다는 우려가 나오고 있기도 하다. 2주면 공격자들이 취약점을 익스플로잇하기 충분한 기간이라는 것이다. 하지만 아직까지 MS 측에서는 공식 입장 발표가 없는 상황이다.

한편 어도비는 이번 달 정기 패치에 이어 긴급 패치를 두 차례나 발표하기도 했다. MS로부터 비슷한 조치를 기대하는 건 이러한 선례 때문이기도 하다.

3줄 요약
1. MS 윈도우의 작업 관리자에서 권한 상승 취약점 발견됨.
2. 한 전문가라는 인물이 개념증명 코드를 공개해버림. 패치 나오기 전 상황인데.
3. MS가 패치 내놓을 때까지는 네트워크 사용자 행동 모니터링이 가장 중요함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>