Home > 전체기사

윈도 10과 11에서 발견된 원격 코드 실행 취약점, 이름은 없어

  |  입력 : 2021-12-09 16:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도 10과 11에서 취약점이 발견됐다. 원격 코드 실행을 가능하게 하는, 꽤나 위험한 취약점이다. 하지만 CVE 번호가 붙어있지는 않다. 따라서 대응이 조금 어려울 수 있다. 이와 관련하여 취약점 발견자들이 ‘MS 탓’이라고 비판했다.

[보안뉴스 문가용 기자] 독일의 보안 전문가 2명이 윈도 10에서 드라이브 바이 코드 실행 취약점을 발견하고 공개했다. 이들에 의하면 MS에 해당 취약점을 미리 알렸으나 제대로 된 대응을 하지 않고 몰래 패치를 진행했다고 한다. 연구원들은 MS의 이런 대응과 태도를 크게 비판하기도 했다.

[이미지 = utoimage]


이번에 공개된 취약점은 브라우저 기반으로 발동되며, 피해자의 잘못된 클릭 한 번을 유도하는 것으로 충분히 익스플로잇 될 수 있다. 아규먼트를 주입하게 해 주는 취약점으로 ms-officecmd:URI와 관련이 있다. 데모 버전의 익스플로잇을 두 전문가가 공개한 상태인데, MS는 이 취약점의 심각성을 그리 심각하게 보고 있지 않으며, 따라서 취약점 발견에 따른 상금 역시 두 전문가에게 제대로 제공하지 않았다고 한다.

이 전문가의 이름은 파비안 브라운레인(Fabian Braunlein)과 쿠카스 율러(Kukas Euler)로 둘 다 보안 업체 포지티브 시큐리티(Positive Security) 소속이다. 이 둘이 발표한 기술 문서에 의하면 MS는 두 연구원들에게는 무성의한 반응을 보이고 5개월 동안 조용히 있다가 갑자기 아무도 모르게 패치를 진행했다고 한다. 그나마 패치도 제대로 되지 않은 것으로 분석됐다. “아직도 저희가 발견한 취약점은 윈도 11에 잔존해 있습니다.”

둘은 보고서를 통해 다음과 같이 썼다. “조작된 ms-officecmd:URI로 우회시키는 악성 웹사이트를 통해 5개월 전 저희가 발견한 코드 실행 취약점을 발동시킬 수 있습니다. URI 핸들러에 아규먼트를 주입할 수 있으며, 이를 통해 보안 장치들을 우회할 수도 있습니다.” 즉 부비트랩을 웹사이트에 설치하고 윈도 10/11 사용자를 유도하면 원격에서 코드를 실행할 수 있게 된다는 것이다.

둘은 이러한 내용을 상세하게 담아 MS로 전달했다. 하지만 MS와 소통하는 건 너무나 어려운 일이었다고 한다. “MS는 제일 처음 이 취약점이 소셜엔지니어링 공격일 뿐이라며 자신들의 규정과 맞지 않는다고 답해왔습니다. 그래서 저희가 여러 번 기술적 내용을 설명했더니, 그제야 치명적 위험도의 원격 코드 실행 취약점임을 인정했습니다. 하지만 이들이 저희에게 준 상금은 치명적 위험도를 가진 취약점에 해당하는 것이 아니었습니다.”

심지어 MS가 위험한 취약점에 대해 알고 있음에도 이를 공개하지 않는 것을 두 전문가는 이해할 수 없었다고 한다. “그래서 이 취약점에는 CVE 번호가 아직 붙어있지 않습니다. 일반 대중이 이 취약점에 대한 대비책을 마련할 수가 아예 없는 것이죠.”

두 전문가는 계속해서 MS에 연락을 했지만 대응은 항상 느렸으며, 대응하는 팀의 기술적 이해도가 낮아 도무지 대화를 이어가기가 힘든 수준이었다고 한다. “저희는 윈도 10 URI 핸들러의 취약한 부분을 탐구해보고자 결정했고, 불과 2주 만에 코드 실행 취약점을 찾아냈습니다. 윈도에서 URI 핸들러가 얼마나 많이 사용되는지 생각했을 때 이 취약점의 파급력은 꽤나 높을 것으로 예상하고 있습니다.”

두 전문가가 작성해 발표한 기술 보고서는 여기(https://positive.security/blog/ms-officecmd-rce)서 열람이 가능하다. 이 페이지에는 연구원이 MS에 낸 원 보고서도 포함되어 있다.

3줄 요약
1. 윈도 10과 11에서 원격 코드 실행 취약점 발견됨.
2. MS는 처음에는 소셜엔지니어링 공격이니 상금의 대상이 되지 않는다고 대응.
3. 하지만 여러 차례 알리니 그제야 치명적 위험도의 취약점임을 인정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화