Home > 전체기사
MS 정기 패치, 세 자리 수 행진 멈췄지만 87개로 여전히 많아
  |  입력 : 2020-10-14 17:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
총 87개 취약점...치명적 위험도를 가진 것이 11개, 고위험군이 75개
TCP/IP의 핵심 요소인 ICMPv6에서 발견된 치명적 취약점 2개 패치 시급


[보안뉴스 문가용 기자] MS가 10월 정기 패치일인 오늘 총 87개의 취약점 패치를 발표했다. 이로써 2020년 2월부터 시작된 ‘세 자리 수 행진’이 중단됐다. 87개가 정기 패치로서는 결코 작은 수가 아니지만 올해 계속해서 신기록이 수립된 덕에 작아 보이는 착시 현상까지 나타나고 있다. 하지만 이 안에는 다수의 치명적 위험도를 가진 취약점이 포함되어 있어 주의가 요구된다.

[이미지 = utoimage]


현재 가장 위험한 취약점(치명적 위험도)은 11개로 분류된다. 그 다음으로 위험한 취약점은 75개이며, 중간급 위험도를 가진 취약점은 1개로 분석됐다. 윈도, 오피스, 오피스 서비스, 웹 앱스, 비주얼 스튜디오, 애저 펑션즈, 닷넷 프레임워크, 마이크로소프트 다이내믹스, 오픈소스 소프트웨어, 익스체인지 서버, 윈도 코덱 라이브러리에서 골고루 발견되었다.

현재까지 해커들이 벌써부터 익스플로잇을 하기 시작한 취약점은 없는 것으로 나타났다. 다만 6개는 이미 해커들에게 공개된 것으로 보이며, 따라서 조만간 익스플로잇이 등장할 가능성이 높다고 한다. 오늘 발표된 취약점 중 21개는 원격 코드 실행으로 이어질 수 있는데, 따라서 현재 발표된 ‘위험도’와는 관계없이 우선적으로 패치하는 게 좋다고 오토목스(Automox)의 보안 전문가 크리스 해스(Chris Hass)는 경고했다. “원격 코드 실행 취약점은 최초 침투로 이어지는 경우가 많기 때문”이라고 한다.

그 중에서도 오늘 가장 큰 관심을 끌었던 취약점은 CVE-2020-16898이다. 치명적 위험도를 가진 원격 코드 실행 취약점으로 윈도 TCP/IP 스택 내에 존재한다. ICMPv6 라우터 광고(Router Advertisement) 패킷들을 제대로 처리하지 못하면서 발동된다. ICMPv6는 IPv6의 핵심 요소이며 오류 보고와 진단 등의 기능을 실행한다. 터미널이나 명령 창에서 ping 명령어를 수행할 수 있게 해주는 것이 바로 이 ICMPv6다.

공격자가 CVE-2020-16898 취약점을 성공적으로 익스플로잇 할 경우, 공격 대상이 되는 서버나 클라이언트에서 코드를 실행할 수 있게 되며, 그 후 여러 다른 공격이 이어질 수 있다. CVSS 기준으로 9.8점을 받았고, 익스플로잇 가능성도 높은 것으로 분류됐다. 익스플로잇을 하려면 특수하게 조작된 ICMPv6 라우터 광고 패킷을 원격 윈도 장비에 전송해야 한다.

그 다음 보안 담당자들이 확인해야 하는 취약점은 CVE-2020-16899다. 일종의 서비스 거부 취약점으로, 윈도 TCP/IP 스택이 ICMPv6 라우터 광고 패킷을 처리하는 과정 중에 발동된다. 이 취약점을 익스플로잇 하는 데 성공할 경우 시스템이 반응을 하지 않게 된다. 다만 코드를 실행하거나 권한을 상승시킬 수는 없다고 한다. 이 취약점 역시 16898과 마찬가지로 특수하게 조작된 ICMPv6 라우터 광고 패킷을 통해 공략할 수 있고, 익스플로잇 가능성이 높은 것으로 나타났다.

이 두 가지 취약점 모두 파급력이 큰데다가 익스플로잇 가능성이 높다는 점에서 ‘긴급 패치’가 요구된다고 보안 전문가들은 말한다. 그나마 다행이라면 이 취약점을 미아크로소프트 내부 보안 팀이 직접 찾아냈다는 것으로, 당분간 해커들 쪽에서 개념증명 코드가 먼저 나올 가능성이 낮다는 것이다. 다만 이번에 발표된 패치를 리버스 엔지니어링 함으로써 익스플로잇 방법이 개발될 수도 있다.

마이크로소프트 아웃룩에서 발견된 치명적 원격 코드 실행 버그인 CVE-2020-16947 역시 주의가 요구된다. 이메일 내 HTML 콘텐츠를 확인 및 점검하는 과정 중에 발동된다. 마이크로소프트 오피스 2016과 2019, 365 버전에서 발견되며, 성공적으로 익스플로잇 할 경우 공격자는 원격 코드 실행을 할 수 있게 된다. 취약한 버전의 아웃룩을 통해 특수하게 조작된 파일을 열도록 꾈 수 있다면 공격을 성공시킬 수 있다.

윈도 하이퍼브이(Hyper-V)에서도 치명적인 위험도의 원격 코드 실행 취약점이 발견됐다. CVE-2020-16891로 윈도 하이퍼브이가 인증된 사용자가 입력한 값을 제대로 확인하지 않기 때문에 생기는 문제다. 게스트 OS에서 특수하게 조작된 코드를 실행시킬 경우 익스플로잇이 가능하게 된다. 성공 시 원격 코드 실행 상태로 만들 수 있다.

3줄 요약
1. 오늘은 마이크로소프트의 패치 튜즈데이.
2. 드디어 100개 넘어가던 것이 87개로 줄어듦. 그것도 많긴 하지만.
3. 치명적 취약점이 11개, 원격 코드 실행 취약점이 21개.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)