Home > 전체기사

MS의 2022년 5월 정기 패치일, 제로데이 취약점 3개 패치돼

  |  입력 : 2022-05-11 15:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS가 5월 정기 패치를 발표했다. 총 74개의 패치가 이뤄졌고, 제로데이 취약점은 무려 3개나 있었다. 고위험군으로 분류된 취약점이 대다수이기도 하고, 여러 회사와 조직들에서 사용되는 서비스들에서도 취약점이 나왔기 때문에 주의가 필요하다.

[보안뉴스 문가용 기자] 마이크로소프트는 2022년 5월 정기 패치를 통해 74개의 취약점들을 해결했다. 초고위험도 취약점은 총 7개이며, 고위험군으로 분류된 취약점은 65개였다. 나머지 1개는 저위험군으로 분류됐다. 74개 중 제로데이 취약점은 3개인데, 그 중 이미 해커들에 의해 익스플로잇 되고 있는 취약점이 1개다. 보안 전문가들은 이 1개에 대한 취약점 패치가 시급하다고 경고하고 있다.

[이미지 = utoimage]


문제의 제로데이 취약점은 CVE-2022-26925다. 윈도 LSA 스푸핑 취약점으로 분류됐으며 CVSS를 기준으로 8.1점을 받았다. 초고위험도는 아니고, 고위험도에 속하는 것이다. 하지만 MS는 윈도 NT LAN 관리자(NTLM) 릴레이 공격에 이 취약점이 활용될 경우 취약점 점수는 9.8점까지 올라갈 수 있다고 경고했다. NTLM은 오래된 요소로, 강력하지 않은 인증 프로토콜을 사용하는 바람에 크리덴셜과 세션 키를 쉽게 노출시킨다. 

트렌드 마이크로(Trend Micro) 제로데이 이니셔티브(ZDI)의 연구원인 더스틴 차일즈(Dustin Childs)는 “해당 취약점은 익스플로잇이 그리 쉽지 않다”고 설명한다. “공격자는 이 취약점을 익스플로잇 하기 전에 중간자 공격을 실시할 수 있는 상태여야만 합니다. 실제 공격 가능성이 낮아야 정상인 취약점인데, 이미 활발한 공격에 시달리고 있다고 하니 신기합니다. 누군가 난관을 뚫고 익스플로잇을 성공시키는 방법을 알아낸 것 같습니다.” 이 취약점은 가장 먼저 패치해야 할 취약점 중 하나로 꼽힌다.

이번에 패치된 제로데이 취약점은 두 개 더 존재한다. 하나는 CVE-2022-29972인데, 초고위험도로 분류됐다. 다만 CVSS 점수는 아직 나오지 않은 상태다. 이 취약점은 인사이트 소프트웨어(Insight Software)의 ODBC 드라이버에서 발견됐다. 이 드라이버의 정식 이름은 Magnitude Simba Amazon Redshift ODBC Driver이며, 애저 시냅스(Azure Synapse)와 애저 데이터 팩토리(Azure Data Factory)라는 서비스와 관련이 깊다고 한다. 두 번째 제로데이 취약점은 CVE-2022-22713으로 CVSS 기준 5.6점짜리로 분류됐다. 윈도 하이버브이(Hyper-V)에서 발견된 디도스 취약점이다.

그 외에 시급히 패치해야 할 취약점
보안 업체 오토목스(Automox)의 보안 국장 크리스 하스(Chris Hass)는 “시급히 다뤄져야 할 보안 취약점이 상당히 여러 가지 있다는 게 이번 달 정기 패치의 특징”이라고 말한다. “NSF, 원격 데스크톱 클라이언트(Remote Desktop Client), 액티브 디렉토리(Active Directory) 등 전 세계의 수많은 기업들에 존재하는 요소들과 관련이 있다는 것이 가장 큰 문제입니다.”

그러면서 하스는 “윈도 네트워크 파일 시스템(NFS)에서 발견된 CVE-2022-26937 취약점이 시급히 패치해야 할 취약점 중 하나”라고 꼽았다. CVSS를 기준으로 9.8점을 받은 취약점이었다. 이 취약점을 익스플로잇 할 경우 공격자는 NFS 서비스의 컨텍스트에서 높은 권한을 취득해 원격 코드 실행 공격을 실시할 수 있게 된다. 이 취약점을 하스가 시급히 해결해야 한다고 강조한 건 2008년 이후에 나온 모든 윈도 서버들에 이 취약점이 존재하기 때문이다. 로그4j(Log4j)의 취약점 사태처럼 취약한 요소가 널리 퍼져있다는 것이다.

차일즈도 “NFS가 디폴트로 여기 저기 활성화 된 요소까지는 아니지만 확실히 여러 환경에서 사용되고 있어서 시급히 문제를 파악하고 패치를 적용해야 한다”고 강조했다. “윈도라는 OS가 다른 OS와 연계되어 사용되는 환경에서는 특히 NFS가 디폴트이다시피 할 정도로 널리 사용됩니다. 만약 이런 환경에 있다면 반드시 CVE-2022-26937부터 확인하세요.”

또 시급히 해결해야 할 취약점으로는 CVE-2022-22017이 있다. CVSS 기준 8.8점을 받은 취약점으로 원격 데스크톱 클라이언트(RDPC)에서 발견된 취약점이다. “이제는 원격 근무자들이 그 어느 때보다 많아진 때죠. 그렇기 때문에 RDP와 관련된 모든 취약점들은 치명적으로 작용할 수 있습니다. 또 하나, 랜섬웨어 공격자들도 RDP를 애용한다는 걸 기억해야 할 것입니다.”

CVE-2022-26923이라는 취약점 역시 요주의 취약점으로 지목됐다. 액티브 디렉토리에서 발견된 것으로 CVSS 기준 8.8점을 받았다. 익스플로잇에 성공할 경우 권한을 상승시킬 수 있게 된다. 이를 통해 공격자들은 도메인 관리자가 될 수 있다고 한다. “액티브 디렉토리도 엄청나게 많은 환경에서 활용되고 있지요. 이 취약점은 공격자들에게 아주 반가운 소식일 겁니다. 왜냐하면 액티브 디렉토리가 얼마나 세상에 많은지 잘 알고 있거든요. 곧 실제 공격 사례가 발견된다고 하더라도 이상할 것이 하나도 없습니다.”

위의 취약점들을 어느 정도 해결했다면 LDAP에서 발견된 10개의 원격 코드 실행 취약점에 관심을 두어야 할 차례다. 그 중 가장 위험한 건 CVSS 기준 9.8점을 받은 CVE-2022-22012라고 한다. 실제 익스플로잇 가능성이 위의 취약점들보다 높지는 않지만 위험도가 높으니 주의 깊게 지켜봐야 할 것이라고 차일즈는 경고했다.

윈도 프린트 스풀러(Windows Print Spooler)의 취약점이 이번 달 다시 한 번 모습을 드러냈다는 것도 눈여겨 봐야 할 부분이다. 이는 요약할 경우 다음과 같다.
1) CVE-2022-29114 : 정보 노출 취약점
2) CVE-2022-29140 : 정보 노출 취약점
3) CVE-2022-29104 : 권한 상승 취약점
4) CVE-2022-29132 : 권한 상승 취약점

보안 업체 테너블(Tenable)의 사트남 나랑(Satnam Narang)은 “이 취약점들 모두 고위험군으로 분류되었다”며 “요 몇 달 동안 윈도 프린트 스풀러가 잦은 공격의 대상이 되고 있는 만큼 이번 패치도 신경 써서 적용하는 것이 안전할 것”이라고 말했다. 또한 셰어포인트에서 발견된 취약점인 CVE-2022-29108 역시 익스플로잇 가능성이 높은 편이라고 나랑은 강조했다.

3줄 요약
1. MS의 2022년 5월 정기 패치 발표됨.
2. 제로데이 취약점 세 개 중 이미 해커들이 익스플로잇 한 것이 한 개.
3. 총 74개 취약점 패치됐으나, 중요한 것부터 순서대로 적용하는 것이 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)