• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS의 ‘패치 튜즈데이’, 총 55개 취약점 패치 공개돼 2021.05.12

MS가 5월 정기 패치를 발표했다. 이전 몇 달에 비해 크게 줄어든 55개 취약점이 해결됐다. 그러나 자가 증식 특성까지 가지고 있으면서도 익스플로잇 난이도가 낮은 취약점이 하나 포함되어 있고, CVSS 9.9점을 맞은 취약점도 있어 간과되어서는 안 된다.

[보안뉴스 문가용 기자] 마이크로소프트의 5월 정기 패치일이다. 지난 몇 달에 비해 꽤나 적은 수인 55개의 취약점이 패치됐다. 4개는 치명적인 위험도를 가지고 있고, 1개는 워머블(wormable) 특성을 가지고 있으며, 3개는 패치 발표 전부터 공개된 것이라고 한다. 50개는 ‘중요’ 등급으로 분류됐고 하나는 중간급인 것으로 분석됐다. 이 55개 취약점들 중 실제 공격으로 익스플로잇 되는 사례는 하나도 없다고 한다.

[이미지 = utoimage]


이번 패치에 영향을 받는 제품들은 다음과 같다.
1) MS 윈도
2) MS 오피스
3) 닷넷 코어
4) 비주얼 스튜디오
5) 인터넷 익스플로러
6) 셰어포인트 서버
7) 하이퍼브이
8) 비즈니스용 스카이프
9) 마이크로소프트 링크
10) 오픈소스 소프트웨어
11) 익스체인지 서버

눈에 띄는 취약점 하나는 CVE-2021-31166이다. 치명적 위험도를 가진 원격 코드 실행 취약점으로, HTTP 프로토콜 스택에서 발견됐다. CVSS 기준으로 무려 9.8점을 받았다. 익스플로잇이 그리 어렵지 않고, 사용자 개입이나 높은 권한도 필요 없다고 MS가 경고했다. “공격자는 특수하게 조작된 패킷을 HTTP 프로토콜 스택을 사용하여 취약한 서버에 전송하기만 하면 됩니다. 이 취약점은 자가 증식이 가능한 워머블 특성도 가지고 있습니다. 윈도 10도 이 취약점에 노출되어 있습니다.” 또한 공격자의 실제 익스플로잇 가능성이 매우 높다고 한다.

보안 업체 이머시브 랩스(Immersive Labs)의 위협 분석가인 케빈 브린(Kevin Breen)은 “그 어떤 취약점이라도 일단 ‘워머블’ 특성을 가지고 있다면 경계 1순위로 삼아야 한다”고 주장한다. “게다가 이번에 패치된 워머블 취약점은 인증 없이도 익스플로잇이 됩니다. 공격자들에게는 매우 매력적으로 느껴질 수밖에 없습니다. HTTP.sys 프로토콜 스택을 사용하는 모든 조직들은 이 취약점 해결을 1순위로 삼아야 할 것입니다.”

보안 업체 맥아피(McAfee)의 수석 엔지니어인 스티브 포볼니(Steve Povolny) 역시 CVE-2021-31166에 대해 경고한다. “익스플로잇 자체가 너무너무 쉽다는 것을 잊지 말아야 합니다. 사실상 조금의 해킹 기술을 가진 누구나 간단히 윈도 커널에서 임의의 코드를 실행시킬 수 있습니다. 익스플로잇이 쉬운 취약점 역시 우선 경계해야 할 것입니다.” 특별 조치의 이유가 두 개나 겹치는 것이 이 CVE-2021-31166라는 뜻으로 종합된다.

주의를 기울여야 하는 취약점은 하나 더 있다. CVE-2021-28476이다. 치명적 위험도를 가지고 있는 원격 코드 실행 취약점이다. 하이퍼브이에서 발견된 것으로 CVSS 기준 9.9점을 가진 것으로 분석됐다. 익스플로잇 난이도가 낮은 편이며, 높은 권한을 필요로 하지 않는다. 심지어 피해자의 개입도 필요 없다. 익스플로잇에 성공할 경우 게스트 가상기계가 하이퍼브이 호스트의 커널을 강제하여 임의 주소로부터 정보를 읽어 들일 수 있게 된다. MS는 “하이퍼브이 호스트에 디도스 공격을 실시할 수 있게 된다”고 경고했다.

요즘 문제가 되고 있는 익스체인지 서버에서도 취약점들이 추가로 발견됐다.
1) CVE-2021-31198
2) CVE-2021-31207
3) CVE-2021-31209
4) CVE-2021-31195
전부 중간급 내지 중요급으로 분류됐다. 이 중 CVE-2021-31207의 경우, 이번에 패치가 나오기 전부터 공개되었다. 따라서 해커들 사이에서 익스플로잇 방법이 이미 알려져 있을 가능성이 높다.

그 외에 CVE-2021-31204라는 취약점 역시 패치 이전에 공개되었다고 한다. 닷넷 코어와 비주얼 스튜디오에서 권한 상승을 일으키는 ‘중요급’ 취약점으로 분석됐다. CVE-2021-31200 역시 패치보다 먼저 공개된 취약점으로, 원격 코드 실행을 가능케 하는 것으로 알려졌다.

3줄 요약
1. MS, 총 55개 취약점을 이번 달 정기 패치 통해 공개.
2. 워머블 특성 가진 CVE-2021-31166, 익스플로잇 난이도도 낮아 경계 요망.
3. 사전에 공개된 취약점들도 3개. 해커들의 익스플로잇 연구 선행되었을 수도.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>