Home > 전체기사
MS, 새해 첫 정기 패치 통해 50여 개 취약점 해결
  |  입력 : 2019-01-09 10:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에지, 하이퍼V, DHCP 등에서 치명적인 취약점 네 개 나와
패치 전에 공개된 취약점도 하나 있어...스카이프와 오피스에서도 취약점


[보안뉴스 문가용 기자] 마이크로소프트가 이번 달 정기 패치를 통해 50개 가까운 취약점들을 손봤다. 여기에는 에지 브라우저, 하이퍼V(Hyper-V), DHCP 등에 있는 치명적인 취약점들이 포함되어 있지만, 실제 해킹 공격에 활용된 취약점은 아직까지 하나도 없는 것으로 보인다. 다만 딱 한 가지 취약점은 사전에 공개된 바 있다.

[이미지 = iclickart]


패치 전에 공개된 취약점은 CVE-2019-0579이며, 2번째로 높은 등급인 ‘중요(important)’를 받았다. 이 취약점은 윈도우 젯(Windows Jet) 데이터베이스 엔진에서 발견된 것이며, 성공적으로 익스플로잇 될 경우 원격에서 코드 실행을 가능하게 해준다. 공격 성립을 위해서는 특수하게 조작된 파일을 사용자가 열도록 해야 한다.

이번 취약점 발견에 참여한 전문가들은 아크로스(ACROS)의 제로패치(0patch), 팔로알토 네트웍스(Palo Alto Networks), 플렉세라(Flexera) 출신들이었다고 MS는 밝혔다.

이 취약점은 CVE-2018-8423과 관련이 있을 가능성이 높다. CVE-2018-8423 역시 젯 데이터베이스 엔진에서 발견된 것으로, 지난 9월 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI)를 통해 공개됐고, 10월 MS가 패치를 배포했다. 하지만 패치가 불완전한 것으로 밝혀지면서 제로패치 측에서 두 개의 마이크로패치를 별도로 발표하기도 했다.

아크로스의 CEO인 미트야 콜섹(Mitja Kolsek)은 “아직 시험과 확인을 더 해봐야 확실해지겠지만 CVE-2019-0579는 CVE-2018-8423의 불완전한 패치로 인해 발생했을 가능성이 높아 보이다”고 말했다.

그 외에 이번 달 정기 패치에는 네 가지 치명적인 취약점들에 대한 픽스가 포함되어 있다. 하나는 에지 브라우저에서 발견된 것으로 샤크라(Chakra) 스크립팅 엔진과 관련이 있는 메모리 변형 버그다. 전부 현재 사용자의 맥락에서 임의의 코드를 실행 가능하게 해준다.

또 다른 치명적인 취약점은 CVE-2019-0547로 윈도우 DHCP 클라이언트 기계에서 공격자가 임의의 코드를 실행할 수 있게 해준다. 특수하게 조작된 DHCP 응답들을 필요로 한다. 나머지 두 개의 치명적인 취약점은 CVE-2019-0551과 CVE-2019-0550으로, 하이퍼V 호스트 OS에서 원격 코드 실행을 가능하게 해준다.

패치와 함께 발표된 이번 달 권고문에서 주목해야 할 것은 안드로이드용 스카이프에 관한 내용이다. 정보 노출 및 권한 상승을 유발하는 취약점으로, 한 전문가가 마이크로소프트에 익스플로잇 방법을 상세하게 공개했다고 한다. 공격 성공 시 사진과 연락처를 열람할 수 있게 된다. 그러나 취약점의 수위 자체는 ‘중급’이라고 MS는 판단했다. 기계에 대한 물리적 접근이 반드시 성립되어야 하기 때문인 것으로 보인다.

오피스 제품들에서도 취약점이 발견됐다. 그 중 관심을 끄는 건 CVE-2019-0560이다. 공격자가 피해자의 메모리로부터 정보를 탈취해 추후 장비나 데이터에 대한 침해 공격을 실시할 수 있게 해주는 것으로, 피해자가 특수하게 조작된 문서 파일을 열도록 해야 한다. 이를 발견한 건 마임캐스트(Mimecast)다.

마임캐스트는 자사 블로그를 통해 “액티브엑스 컨트롤이 있는 오피스 파일들이 늘 메모리 유출 문제를 일으킨다”며 “사이버 범죄자들에게 매우 유용한 정보”라고 밝혔다. “멀웨어를 동반한 원격 공격을 통해 민감한 정보를 훔칠 수 있고, 이 정보로 수익 활동을 하든가 추가 범죄를 일으킬 수 있게 됩니다. 이런 종류의 취약점은 수년 전부터 나타나고 있습니다.”

한편 어도비(Adobe) 또한 같으 날 정기 보안 업데이트를 발표했다. 하지만 커넥트(Connect)와 디지털 에디션(Digital Editions)에 있는 두 개의 ‘중요’ 취약점만 패치됐다. 어도비는 요 몇 달 동안 비정기 긴급 패치를 발표해왔다.

3줄 요약
1. MS의 첫 2019년 정기 패치. 50여 개 취약점 해결됨.
2. 치명적인 취약점은 총 네 개. 이미 공개된 취약점은 한 개.
3. 그 외 스카이프와 오피스에서 발견된 취약점들도 패치.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향