Home > 전체기사

올해의 마지막 정기 패치 통해 36개 취약점 해결한 MS

  |  입력 : 2019-12-11 12:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
12월 정기 패치 발표...이미 공격에 활용되고 있는 제로데이도 포함돼
치명적인 위험도 가진 취약점 7개...대다수가 비주얼 스튜디오와 관련


[보안뉴스 문가용 기자] 2019년의 마지막 ‘패치 튜즈데이’가 왔다. MS는 총 36개의 취약점들을 패치했는데, 이 중에는 실제 공격에 활용되고 있는 윈도우 제로데이 취약점도 포함되어 있다.

[이미지 = iclickart]


문제의 제로데이 취약점은 CVE-2019-1458로 일종의 권한 상승 버그다. Win32k 요소들이 메모리 내 객체들을 제대로 처리하지 못하면서 발동된다. 공격자들은 특수하게 조작된 애플리케이션을 활용해 이 취약점을 익스플로잇 한 후 시스템을 완전히 장악할 수 있게 된다. 사용자의 권한을 가지고 데이터 열람, 변경, 삭제를 진행할 수 있게 된다는 것이다.

이 취약점을 발견해 보고한 건 보안 업체 카스퍼스키 랩스(Kaspersky Labs)다. 위자드오피움 작전(Operation WizardOpium)이라는 사이버 공격 캠페인을 추적하다가 올린 성과다. 공격자들은 이 제로데이만이 아니라 구글 크롬에서 발견된 제로데이인 CVE-2019-13720까지도 활용하고 있는 것으로 나타났다.

CVE-2019-1458은 윈도우 7의 가장 최신 버전들과 윈도우 서버 2008, 윈도우 10의 몇 가지 빌드에서 나타났다. 최신 윈도우 10 빌드들의 경우 취약점이 발동되지 않는 것으로 분석됐다. 윈도우 서버 2008과 윈도우 7의 경우, 2020년 1월 14일 이후 보안 업데이트가 발행되지 않을 예정이다.

그 외에 CVE-2019-1468도 주목해야 할, 치명적인 위험도를 가진 취약점이라고 한다. Win32k 그래픽 요소에서 발견된 원격 코드 실행 취약점으로, 윈도우 폰트 라이브러리가 특수하게 조작된 폰트를 잘못 처리할 때 발동된다. 보안 업체 테너블(Tenable)의 수석 연구 엔지니어인 사트남 나랑(Satnam Narang)은 “소셜 엔지니어링이나 피싱 공격 등을 통해 간단히 익스플로잇 할 수 있는 취약점”이라고 설명한다. “익스플로잇에 성공하면 공격자가 각종 프로그램을 설치하거나 데이터를 조작하고, 계정을 만들 수 있게 됩니다.”

CVE-2019-1468 외 이번 달 패치된 취약점들 중 ‘치명적인 위험도’를 가진 것은 다음과 같다.
1) CVE-2019-1349
2) CVE-2019-1350
3) CVE-2019-1352
4) CVE-2019-1354
5) CVE-2019-1387
6) CVE-2019-1471
1~5번은 Git for Visual Studio에서 발견된 것이고, 6번은 CVE-2019-1471에서 발견된 것이다.

CVE-2019-1349는 원격 코드 실행 취약점으로, 사용자의 시스템을 멀웨어 공격에 취약하게 만든다. 자동화 기술 업체인 오토목스(Automox)의 제품 관리자인 리차드 멜릭(Richard Melick)은 “그 외에도 계정 탈취, 앱 코드 도난 등 각종 공격에 활용될 수 있다”고 경고하기도 한다.

“이 취약점은 비주얼 스튜디오와 관련이 있기 때문에 문제가 큽니다. 비주얼 스튜디오는 인기가 매우 높은 개발 환경이죠. 따라서 공격 표면이 매우 넓어질 수가 있습니다. 이 취약점은 시급히 패치해야 할 성격의 것이라고 보고 있습니다.” 이 취약점의 익스플로잇을 위해서 공격자는 깃(Git) 클라이언트를 사용해 악성 리포지터리를 공격 대상이 되는 시스템에 다운로드 해야 한다.

36개는 올해 MS가 정기 패치에 맞춰 발표한 업데이트 중 가장 적은 수다. 11월에는 74개, 10월에는 59개, 9월에는 80개의 취약점이 패치됐었다.

3줄 요약
1. MS, 올해의 마지막 정기 패치 발표.
2. 제로데이 한 가지는 이미 공격에 활용되고 있어 긴급 패치 필요.
3. 치명적 위험도 가진 취약점은 총 7개 패치됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협