윈도 제로데이 취약점, 공격자들은 이미 알고 악용하고 있었다
권한 상승시켜주는 취약점으로 MS는 해당되는 장비 업데이트 마쳐

[보안뉴스 문가용 기자] 구글의 프로젝트 제로 팀이 현재 해커들이 활발하게 익스플로잇 하고 있는 윈도 취약점을 발견했다. 윈도 커널 암호화 드라이버인 cng.sys가 지원하는 IOCTL 중에서 발견된 정수 오버플로우 취약점으로, 익스플로잇에 성공할 경우 공격자는 권한 상승 및 샌드박스 탈출 공격을 할 수 있게 된다.


이 제로데이 취약점은 구글 프로젝트 제로 소속 보안 전문가 마테우스 주르직(Mateusz Jurczyk)과 세르게이 글라주노브(Sergei Glazunov)가 발견했다. 또한 CVE-2020-17087이라는 관리번호가 붙었다. IOCTL 0x390400의 cng!CfgAdtpFormatPropertyBlock 함수에서 발견됐다고 한다.

주르직은 블로그 글을 통해 “윈도 커널 암호화 드라이버(Windows Kernel Cryptography Driver, cng.sys)가 \Device\CNG 장비를 사용자 모드 프로그램들에 노출시키고 중대한 입력 구조를 가진 다양한 IOCTL을 지원하기 시작한다”고 이 취약점에 대해 설명했다. 그러면서 “권한 상승 공격을 위해 로컬에서 익스플로잇 할 수 있다”고 덧붙였다.

이 취약점의 상세 기술 정보가 구글 프로젝트 제로 내부에서 공유된 건 10월 22일의 일이다. 이미 공격자들 사이에서 활용이 되고 있던 취약점이기 때문에 대중들에게 공유되기 시작한 건 그로부터 1주일이 지난 시점에서였다. 만약 공격자들의 실제 익스플로잇이 없었다면 이 취약점은 MS에게만 은밀하게 공유되었을 것이라고 한다.

연구원들은 개념증명용 익스플로잇의 소스코드를 함께 공개했다. 둘에 따르면 “윈도 10 1903(64비트)의 최신 빌드에서도 통하는 걸 실험을 통해 확인했다”고 한다. 다만 이 문제가 윈도 7에도 있을 가능성은 낮아 보인다는 게 프로젝트 제로 팀의 입장이다.

현재까지 프로젝트 제로가 조사한 바에 따르면 이 취약점은 표적 공격에 주로 익스플로잇 되는 것으로 보인다고 한다. 하지만 미국 대선과 관련된 공격은 아직까지 한 건도 발견할 수 없었다고 주장했다.

마이크로소프트는 이 내용을 접한 후 “고객들을 보호하기 위해 즉시 조사에 착수했고 영향이 있는 장비들을 전부 업데이트 했다”고 발표했다. 그러면서 “보안 업데이트를 개발하고 배포하는 건 늘 ‘시간과의 전쟁’”이라며 “항상 고객들에게 가장 안전한 환경을 제공하기 위해서 빠르게 움직일 것”이라고 설명했다.

이번 취약점의 기술 상세 내용은 여기(https://bugs.chromium.org/p/project-zero/issues/detail?id=2104)를 통해 열람이 가능하다.

3줄 요약
1. 윈도 암호화 기술 관련 요소에서 제로데이 취약점 발견됨.
2. 공격자들이 먼저 발견해 실제 표적 공격에 활용하고 있던 상태.
3. 구글이 이를 발견해 MS에 알리고, MS는 최대한 많은 패치 공개.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>