• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

마이크로소프트, 이번 달 정기 패치 통해 40개 취약점 해결 2018.12.12

MS 정기 패치 날, 다른 달보다 조금 적은 40개 취약점 해결해
인터넷 익스플로러와 에지 브라우저 관련 패치도 포함되어 있어

[보안뉴스 문가용 기자] 마이크로소프트가 12월 정기 패치를 발표했다. 이번 달에는 40개가 조금 안 되는 취약점들이 다루어졌다. 다른 달에는 50개가 넘는 취약점 패치가 발표된 것을 생각해보면 오히려 적다고 볼 수 있는 숫자다.

[이미지 = iclickart]


오늘 패치된 취약점들 중 9개는 ‘치명적’인 위험성을 내포하고 있고, 30개는 ‘중요’한 것으로 분류됐다. 한 개는 이미 그 내용이 공개된 상태이며, 또 다른 취약점 한 개는 실제 해킹 공격에 활용되고 있는 것으로 알려지기도 했다.

공격을 당하고 있는 취약점은 CVE-2018-8611로, Win32K의 권한 상승 취약점이며, 보안 업체 카스퍼스키(Kaspersky)가 발견해 보고한 것이다. 마이크로소프트는 Win32K 권한 상승 취약점을 벌써 세 달 연속 패치하고 있다. 보안 업체 마이크로 트렌드(Micro Trend)가 실시하는 제로데이이니셔티브(Zero Day Initiative, ZDI)의 더스틴 차일즈(Dustin Childs)는 “Win32K에서 나오는 버그가 공격자들 사이에서 인기가 높다”며 “앞으로도 계속 등장할 것”이라고 예측하고 있다.

보안 업체 테너블(Tenable)의 수석 연구원인 사트남 나랑(Satnam Narang)은 “CVE-2018-8611은 매우 심각한 취약점”이라고 말한다. “공격자가 이 취약점을 익스플로잇 하려면 시스템을 먼저 침해해야 한다는 전제 조건이 붙습니다만, 그렇다 하더라도 위험한 취약점이라는 사실에는 변함이 없습니다.” 그래서 이번 패치에 있어서 1순위로 해결해야 한다고 그는 강조했다.

대중들에게 공개된 취약점은 CVE-2018-8517로, 디도스 공격을 가능하게 해주는 것이다. 닷넷 프레임워크(.NET Framework)의 웹 애플리케이션에서 발견되었으며, 오늘 패치가 있기 전에 이미 내용이 공개된 바 있다. 그러나 아직 실제로 익스플로잇 된 사례는 없다. 차일즈는 “이번 달 취야점들 중 25%가 이처럼 브라우저와 관련이 있는 것”이라고 짚었다. 알려져 있다는 건 공격 가능성이 높다는 것이니 이 역시 긴급히 패치를 적용해야 할 것이라고 말하기도 했다.

또 다른 중요한 취약점 중 하나는 CVE-2018-8626이다. 치명적인 위험도를 가진 취약점 중 하나로, 윈도우 DNS 서버에서 원격 코드 실행을 가능하게 해주는 것이다. 익스플로잇이 될 경우 승인을 받지 않은 공격자가 임의의 코드를 로컬시스템 계정(LocalSystem Account) 맥락에서 실행할 수 있게 해준다. 차일즈는 “DNS 서버들이 요청문을 처리하도록 설계되어 있으므로, 사실상 이번 패치 적용 외에는 다른 해결법이 없다”고 설명했다.

“물론 일반 사용자들이라면 크게 신경 쓰지 않아도 될 패치입니다. 집에 DNS 서버를 두고 사용하지는 않을 테니까요. 그러나 대기업이나 인터넷 서비스 공급 업체라면 이야기가 달라집니다. 특히 DNS 서버를 보유하고 직접 운영하고 있는 조직이라면요. 그런 상황에서는 이 취약점이 대단히 중요한 문제가 됩니다.” 보안 업체 레코디드 퓨처(Recorded Future)의 수석 솔루션 아키텍트인 알란 리스카(Allan Liska)의 설명이다.

그 외 서버 측에서 발견된 버그는 CVE-2018-8604, CVE-2018-8651 등이 있다. 클라이언트 측에서 발견된 버그 중 눈에 띄는 것은 인터넷 익스플로러 취약점인 CVE-2018-8631과, 마이크로소프트 에지 브라우저 취약점이다. 에지 브라우저에서는 샤크라(Chakra) 스크립팅 엔진에서만 다섯 개의 치명적인 버그가 발견됐는데 전부 메모리 변형 및 원격 코드 실행과 관련이 있는 것으로 알려졌다.

3줄 요약
1. MS, 이번 달 정기 패치 통해 40개 정도 취약점 해결.
2. 치명적인 취약점은 9개, 이미 익스플로잇 되고 있던 취약점도 1개.
3. 서버 측의 취약점은 인터넷 서비스 업체나 대기업들의 1순위 패치 대상.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>