오랜만에 MS 정기 패치일에 100개 넘는 취약점이 다뤄졌다. 공격자들이 먼저 알게 된 제로데이 취약점들과, 시급한 해결이 요구되는 초고위험도 취약점이 다수 포함되어 있다.
[보안뉴스 문가용 기자] 마이크로소프트가 10월 정기 패치를 발표했다. 이 중에는 공격자들이 이미 활용하고 있는 제로데이 취약점 두 개가 포함되어 있어 시급한 패치 적용이 요구되고 있다. 그 외에도 웜 특성을 가지고 있는 초고위험도 취약점도 있어 관리가 요구되고 있다. 이번에 공개된 취약점들 중 CVE 번호가 붙은 취약점은 총 103개이며 다양한 MS 제품 및 서비스에 영향을 준다. 103개 취약점 중 초고위험도로 등급이 매겨진 것은 13개다.
![[보안뉴스 / 10.11.] MS의 패치 튜즈데이, 각종 제로데이와 초고위험도 취약점으로 점철돼](http://www.boannews.com/media/upFiles2/2023/10/679156264_9438.jpg)
[이미지 = gettyimagesbank]
이미 익스플로잇 되고 있는 취약점들
제일 먼저 관리자들이 눈여겨 봐야 할 취약점은 CVE-2023-36563이다. 정보 노출 취약점으로 메모장 애플리케이션에서 발견됐다. 익스플로잇에 성공할 경우 NTLM 릴레이 공격을 실시할 수 있게 된다. “이 취약점을 익스플로잇 하려면 공격자는 먼저 피해자의 시스템에 접근할 수 있어야 합니다.” 액션원(Action1)의 회장 마이크 월터스(Mike Walters)의 설명이다. “그런 다음 공격자는 특수하게 개발된 애플리케이션을 통해 시스템을 장악할 수 있게 됩니다.”
악성 애플리케이션을 별도로 개발하기 힘들다 하더라도 같은 공격을 성공시키는 게 가능하다고 그는 강조한다. “로컬 사용자를 속여 특정 파일을 열도록 만들 수 있다면 취약점 익스플로잇이 가능합니다. 그러려면 사회 공학 기법이 활용되어야 하겠지만, 공격자들에게 있어 이는 크게 어려운 일이 아닙니다. 이러한 공격을 위해 파일을 특수하게 제작해야 하는데, 이 역시 난이도가 높은 작업은 아닙니다.”
트렌드마이크로(Trend Micro)의 제로데이이니셔티브(Zero Day Initiative) 담당자 더스틴 차일즈(Dustin Childs)는 블로그를 통해 “CVE-2023-36563이라는 취약점을 패치하는 것도 중요하지만 거기에 더해 윈도 11 OS 상 SMB를 통해 외부로 연결되는 NTLM을 차단하는 조치를 취하면 더 안전해질 수 있다”고 알렸다. “NTLM 릴레이 익스플로잇 공격 기법을 사실상 무력화시킬 수 있는 조치이기 때문에 그 부분에 대한 걱정을 더 이상 하지 않아도 됩니다.”
기업용 스카이프(Skype for Business)에서 발견된 CVE-2023-41763 취약점도 심각한 문제다. 일종의 권한 상승 취약점인데, 차일즈는 “오히려 정보 노출 취약점에 가깝다”고 평가한다. “공격자들이 이 취약점을 익스플로잇 하면 임의의 주소로 전송되는 HTTP 요청을 노출시킬 수 있고, 이를 통해 결국 IP 주소나 포트 번호를 알아낼 수 있게 됩니다. 매우 민감한 정보가 새나가는 것이죠. 다만 노출된 데이터를 공격자가 임의로 변경할 수는 없습니다.”
MS 메시지 큐잉에서 나온 스무 가지 취약점
이번 달 패치를 통해 가장 많은 관심을 받기 시작한 건 MSMQ라는 서비스다. ‘마이크로소프트 메시지 큐잉(Microsoft Message Queuing, MSMQ)’이라는 서비스인데, 여기서만 20개의 취약점이 나왔다. 혼자서 20%의 지분을 차지한 것이다. 이 중 눈에 띄는 취약점은 CVE-2023-35349으로 이번 달에 패치된 취약점들 중 가장 높은 점수인 9.8점을 받았다.
왜 이렇게나 위험한 취약점으로 분류된 것일까? 취약점 익스플로잇에 사용자의 행동을 유발할 필요가 전혀 없으며, 원격 코드 실행으로 이어질 수 있기 때문이다. 웜 특성도 가지고 있다. MSMQ는 여러 서버나 호스트에 있는 애플리케이션들이 상호 데이터를 주고받을 수 있도록 해 주는 기술로, 이 때 통신된 내용은 따로 저장되기도 한다. 디폴트 상태의 윈도 시스템이라면 MSMQ가 비활성화 되어 있지만 익스체인지 서버를 설치 및 구축하는 과정에서 활성화시킬 수 있다. 이머시브랩스(Immersive Labs)의 수석 보안 엔지니어인 롭 리브즈(Rob Reeves)는 “꽤나 많은 조직에서 활성화시키고 있는 기능”이라고 설명한다.
“물론 MSMQ를 공공 인터넷 상에 고스란히 노출시키는 건 비정상적인 일입니다. 그런 조직이라면 사실 보안이 매우 허술하거나 치명적인 실수를 한 거라고 볼 수 있죠. MSMQ를 활성화한 조직은 많아도 인터넷을 통해 접근하기는 어렵다는 일입니다. 그러므로 공격자들은 피싱 공격이나 사회 공학적 기법을 통해 MSMQ가 인터넷에 먼저 연결되도록 하거나, 스스로 피해자 네트워크에 침투하여 MSMQ가 노출되도록 손을 써야 합니다.” 리브즈의 설명이다.
“익스플로잇 난이도가 낮지는 않다는 뜻입니다. 그럼에도 사용자들은 이 패치를 시급히 적용해야 할 것입니다. 한 번 당하면 굉장히 위험해질 수 있기 때문입니다. 동시에 TCP 포트 1801번을 통한 통신을 차단하거나 엄격한 규칙을 설정해 방화벽으로 보호하는 것도 좋은 방법입니다.” 그 외 MSMQ에서 발견된 취약점들은 대부분 원격 코드 실행이나 디도스 공격을 실시할 수 있게 해주는 것이라고 차일즈는 덧붙였다.
그 외에도 서둘러 적용해야 할 패치
그 다음으로 패치 우선순위를 잡으면 좋을 취약점은 CVE-2023-36434라고 더스틴 차일즈는 짚는다. “이 취약점을 익스플로잇 하는 데 성공한 공격자는 정상 사용자인 것처럼 IIS 서버에 접속할 수 있게 됩니다. 다만 피해자 네트워크에 이미 침투한 후에 익스플로잇 할 수 있는 취약점입니다. 이러한 제한점 때문에 MS는 중위험군으로 이 취약점을 분류했지만 차일즈는 초고위험도에 가깝다고 보고 있다. “피해자 네트워크에 미리 침투해 있는 것이 요즘 해커들 사이에서는 아무 것도 아닌 일이죠.”
월터스의 경우에는 레이어 2 터널링 프로토콜(Layer 2 Tunneling Protocol)에서 발견된 ‘고위험군 취약점들’을 패치하는 게 중요하다고 보고 있다. “CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41770, CVE-2023-41769, CVE-2023-41768, CVE-2023-41767, CVE-2023-41765, CVE-2023-38166 취약점을 말합니다. 네트워크 기반 공격을 가능하게 해 주는 취약점들로, 사용자의 특별한 행동을 유발할 필요가 없습니다. 다만 익스플로잇 난이도 자체가 낮지는 않습니다.”
오토목스(Automox)의 부회장 제이슨 키크타(Jason Kikta)의 경우 “CVE-2023-36577이라는 고위험군 취약점”을 꼽는다. “SQL 서버와 관련이 있는 취약점으로, 데이터 접근을 효율적으로 할 수 있게 해 주는 기능을 가지고 있습니다. 개발자들이 각종 데이터를 열람하고 활용할 수 있도록 하지요. 그렇기 때문에 익스플로잇 되면 파급력이 커질 수 있습니다. 또한 이 취약점은 경우에 따라 임의 코드 실행 공격도 가능하게 해 줍니다.”
3줄 요약
1. 10월 MS 정기 패치를 통해서 100개가 넘는 취약점이 해결됨.
2. 그 중 MSMQ라는 서비스에서만 20개의 취약점이 발견됨.
3. 공격자들이 이미 익스플로잇 하고 있는 제로데이부터 패치하는 게 안전.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 10.11.] MS의 패치 튜즈데이, 각종 제로데이와 초고위험도 취약점으로 점철돼](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
