윈도의 방어 장치를 무력화시키는 제로데이 취약점 2개가 발견됐다. 취약점 특성상 패치 외에는 위험을 완화시킬 수 있는 방법도 없다고 한다. 아직 MS가 묵묵부답인 상황에서, 공격자들은 이미 이 취약점들을 익스플로잇 하기 시작했다.
[보안뉴스 문가용 기자] 윈도의 여러 버전에서 두 개의 취약점이 발견됐다. MS의 MOTW라는 보안 기능을 우회하여 악성 첨부파일을 전송할 수 있도록 해주는 취약점들이다. 윈도 버전들마다 취약점 내포 현황이 조금씩 다르고, 그래서 주의가 필요하다.
![[보안뉴스 / 10.26.] MS 윈도에서 발견된 두 가지 제로데이 취약점, 아직 패치는 없어](http://www.boannews.com/media/upFiles2/2022/10/97030788_2360.jpg)
[이미지 = utoimage]
CERT/CC의 소프트웨어 취약점 분석가였던 윌 도먼(Will Dormann)에 의하면 “현재 공격자들은 이 두 가지 취약점을 활발히 익스플로잇 하고 있다”고 한다. 도먼은 이 취약점들을 제일 먼저 발견해 알린 사람이다. “그런데도 아직 MS는 픽스를 발표하지 않고 있습니다. 위험 완화 대책마저 없는 상황이고요. 즉 윈도를 사용하는 기업들로서는 스스로를 보호할 방법이 거의 없다는 겁니다.”
MOTW는 윈도의 기본 기능 중 하나로, 사용자들이 수상한 곳에서 파일을 함부로 다운로드 받지 못하게 하는 역할을 한다. 윈도는 인터넷으로부터 다운로드 된 파일들에 일종의 표식을 ‘숨김 태그’ 형태로 부착하는데, 이것이 바로 MOTW다. 이 표식이 붙은 파일을 가지고 뭘 하려고 하면 여러 가지 제한이 발생하고, 따라서 할 수 있는 일과 없는 일이 분명하게 나뉜다. MS 오피스 10 파일들의 경우 표식이 붙어 있으면 자동으로 ‘안전 모드’로 열람이 된다. 실행파일들에 표식이 붙어 있으면 윈도 디펜더의 검사부터 통과해야 실행된다. “윈도의 여러 안전 장치들이 MOTW의 표식을 근간으로 발동됩니다.”
첫 번째 버그 : 집 파일
도먼이 발견한 첫 번째 오류는 다운로드 된 집(zip) 압축파일로부터 추출된 파일들에는 MOTW 표식이 붙지 않는다는 것이다. 도먼은 이를 7월 7일에 MS에 알렸다. “.zip 파일에 포함된 파일들은 설정 조작을 통해 추출 후 아무런 표식이 붙지 않게 만들 수 있습니다. 공격자들이 이 점을 악용하면 MOTW 표식이 붙지 않아 아무런 제한이 없는 파일을 피해자의 시스템에 심을 수 있게 됩니다. 임의의 코드를 실행시킬 수 있게 되는 것입니다.”
도먼은 아직 세부 내용을 공개하지는 않고 있다. 패치나 위험 완화 대책이 나오지 않았기 때문이다. 다만 XP 이상 모든 버전의 윈도에 이 취약점이 존재한다고 한다. 또한 “이 오류가 실제 공격에 활용되는 사례를 다른 보안 전문가들이 발견했다는 소리를 들은 바 있다”고 말한다. 그러면서 “이모텟(Emotet), 칵봇(Qakbot) 등 유명 봇넷 운영자들이 익스플로잇 방법을 찾아내면 사고가 대규모로 벌어질 것”이라고 경고했다.
소프트웨어 원 개발사가 패치를 만들지 않을 경우 임시 패치를 제공하는 회사 제로패치(0patch)의 CEO 밋자 콜섹(Mitja Kolsek)도 이 취약점의 내용을 확인했다. “한 번 알고나면 너무나 간단하고 어이없는 취약점입니다. 그래서 저희도 세부 내용을 공개할 수 없었습니다. 해커들이 너무나 잘 사용할 것이 눈에 뻔히 보이거든요. 패치 외에는 위험을 완화시킬 수 있는 방법이 전혀 없습니다.” 다만 콜섹은 익스플로잇 자체가 어렵지는 않지만 피해자가 집 파일을 열도록 만들어야만 공격이 성공한다고 말한다.
두 번째 버그 : 인증 서명
두 번째 취약점은 잘못된 디지털 인증 서명이 포함된 파일에 MOTW 표식이 붙을 때 발동된다. 여기서 말하는 디지털 인증 서명은 오센티코드(Authenticode)라는 MS의 코드 서명 기술을 말한다. 소프트웨어 내 특정 구성 요소를 퍼블리시 한 사람을 인증함으로써, 그 후 소프트웨어가 임의로 변경되었는지 알게 해 준다. “오센티코드 서명에 오류가 있는 상황일 때 특정 버전의 윈도 OS가 마치 MOTW라는 장치가 전혀 존재하지 않는 것처럼 행동하는 것이 발견됐습니다. 그래서 스마트스크린(SmartScreen) 등과 같은 보호 장치들이 제대로 기능을 발휘하지 않습니다.”
도먼은 “오센티코드 데이터를 처리하는 과정 중 오류가 발생하면 MOTW가 망가지는 듯 보인다”고 설명한다. “이 취약점은 윈도 10 이상 버전들에 존재합니다. 윈도 서버 2016과 각종 변종들에서도 발견되고 있고요. 공격자들이 이를 익스플로잇 할 경우 MOTW를 사실상 무력화시킬 수 있습니다.” 도먼은 10월 초에 이를 발견해 MS에 알렸다고 한다.
현재 MS가 이 두 가지 취약점에 대하여 어떤 일을 벌이고 있는지는 아무도 알 수 없다. 이를 발견한 보안 전문가들에게 답장도 보내지 않고 있으며, 언론 인터뷰에도 응하지 않고 있기 때문이다. 다만 도먼은 “나도 MS의 공식 취약점 제보 채널을 이용하지 않았다”며 “MS가 이 소식을 접하지 못하고 있을 수 있다”고 설명한다. “MS는 대다수 취약점을 빠르게 픽스하는 회사입니다. 이번에도 그럴 것이라고 봅니다.”
3줄 요약
1. MS 윈도 여러 버전들에서 위험한 취약점 2개가 발견됨.
2. 윈도의 보안 장치 중 하나인 MOTW가 비정상적으로 작동하게 하는 취약점.
3. MS는 아직 패치 발표를 하지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>