• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

트위터에서 활동하는 전문가, 또 윈도우 제로데이 취약점 공개 2018.10.25

샌드박스이스케이퍼, 지난 8월에 이어 다시 한 번 윈도우 제로데이 공개
다행히 실제 공격은 어려운 편...하지만 성공하면 파괴적인 결과 나타날 수도

[보안뉴스 문가용 기자] 윈도우에서 새로운 제로데이 취약점이 발견됐고, 그 사실은 트위터를 통해 공개됐다. 지난 8월 윈도우 작업 스케줄러(Task Scheduler)에서 제로데이 취약점을 발견해 트위터로 공개한 바로 그 인물이 이번에도 비슷한 일을 벌인 것이다.

[이미지 = iclickart]


이번에 발견된 취약점은 마이크로소프트의 데이터 공유(Microsoft Data Sharing) 라이브러리인 dssvc.dll에 영향을 미치는 것으로 나타났다. 시스템에 대한 접근 권한이 있는 공격자의 경우 이 취약점의 익스플로잇이 가능하다.

이를 발표한 사람은 트위터에서 샌드박스이스케이퍼(SandboxEscaper)라는 이름을 사용하고 있으며, 깃허브(GitHub)에 개념증명용 코드를 공개하기도 했다. 이 코드를 실행하면 관리자만 접근하고 삭제할 수 있는 파일도 삭제할 수 있게 되며, 따라서 시스템이 마비된다.

샌드박스이스케이펴는 다음과 같은 포스팅을 올렸다. “지난 번에 공개한 버그와 달리 이번 취약점은 파일들에 쓰레기들을 입력하는 짓을 하지 않는다. 다만 지울 뿐이다. 애플리케이션의 dll 파일들도 지울 수 있다. 시스템 서비스에서 사용하는 파일들도 삭제가 가능하다.”

이 취약점은 가장 최신 윈도우 버전들에만 영향을 미친다. 데이터 공유 서비스라는 것이 윈도우 10을 통해 처음 도입된 기능이기 때문이다. 이 기능이 있는 윈도우 서버 2016과 서버 2019 역시 영향을 받는 것으로 알려져 있다. 사이버 보안 전문가인 케빈 뷰몬트(Kevin Beaumont)는 “이 취약점의 익스플로잇은 사실 새로운 윈도우 서비스가 사용자 허용 여부를 다시 확인하지 않는다는 점을 악용하는 것”이라고 설명한다.

보안 업체 테너블(Tenable)의 수석 연구원인 톰 파슨즈(Tom Parsons)는 “dssvc.dll에 존재하는, 권한 상승을 유발하는 제로데이 취약점”이라고 이 취약점을 정의한다. “dssvc.dll은 애플리케이션들 간 데이터 교환 행위의 브로커 역할을 수행하는 요소입니다.”

윈도우 10이 윈도우 7 다음으로 가장 많이 사용되고 있는 OS라는 점을 생각했을 때 이 취약점은 공격자들에게 꽤나 매력적으로 다가올 것 같다고 파슨즈는 덧붙였다. “이 취약점에는 분명한 한계가 있습니다. 공격자가 사전에 시스템 접근 권한을 확보해야 한다는 것이죠. 아니면 최소한 원격 익스플로잇과 합쳐져야만 취약점 공략이 가능하게 됩니다. 하지만 일단 공략에 성공하면 네트워크 내에서 횡적으로 움직일 수 있고, 프로세스와 시스템을 파괴할 수도 있습니다.”

따라서 익스플로잇이 쉽지는 않지만 불가능하지도 않은, 그리고 그 결과가 매우 치명적일 수 있는 제로데이 취약점이 등장한 것이다. 뷰몬트는 “아마 이를 진지하게 익스플로잇 하려면 꽤나 실력이 있어야 할 것”이라고 설명한다. “OEM 드라이버들을 표적으로 한 공격이 실제로 발생할 가능성이 그나마 높아 보입니다. 그 외의 ‘실질적인’ 시나리오는 잘 떠오르지 않습니다.”

보안 업체 아크로스 시큐리티(ACROS Security)의 CEO인 미트야 콜섹(Mitja Kolsek)은 이 트윗이 퍼지자마자 깃허브에 접속해 개념증명 코드를 확인했다. 그리고 “실제로 샌드박스이스케이퍼가 설명한 그대로 작동한다”는 걸 확인할 수 있었다. 그리고 수 시간이 지난 후 미트야 콜섹 자신이 설립한 제로패치(0patch)의 전문가들이 이 취약점을 해결해주는 마이크로패치를 발표했다. 윈도우 서버 2016용 마이크로패치 역시 공개됐다. 제로패치는 벤더가 공식 패치를 발표하기 전에 급히 문제를 완화할 수 있는 소규모 패치를 개발하는 데에 특화된 회사다.

이번 사건으로 또 다시 ‘책임감 있는 취약점 공개’ 문제가 다시 화제가 되었다. 현재 보안 업계 내에서는 취약점에 대한 내용 공개를 패치 발표와 동시에 하는 것이 불문율처럼 자리 잡아가고 있다. 패치 개발에 책임을 가진 자가 패치를 도무지 발표하지 않을 경우에나 예외적으로 취약점이 공개되곤 한다.

3줄 요약
1. 지난 8월 윈도우에서 제로데이 발견해 트위터로 공개한 인물, 또 다시 제로데이 발견 후 발표.
2. 공격자가 익스플로잇에 성공할 경우 중요 시스템 파일 삭제 가능. 물론 공격 자체는 어려움.
3. 책임감 있는 취약점 공개에 대한 논쟁이 다시 일어나고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>