MS의 제품들은 전 세계적으로 ‘필수품’에 가까운 지위를 누리고 있다. 그렇기 때문에 MS 제품에서 발견된 취약점들은 활발히 연구되고 활발히 공격 당한다. 게다가 사용자들이 패치를 잘 적용하지 않으니 패치가 나오나 마나 상관이 없다.
[보안뉴스 문가용 기자] 공격자들이 마이크로소프트의 브라우저 엔진인 MSHTML에서 발견된 원격 코드 실행 취약점을 공략하기 시작했다. 해당 취약점은 CVE-2021-40444로, 이미 작년 9월에 패치가 된 것이지만 올해 2사분기에 들어서 익스플로잇 시도가 급격히 늘어났다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다.
![[보안뉴스 / 8.17.] 패치가 있으나 없으나 인기가 항상 높은 MS 생태계의 취약점](http://www.boannews.com/media/upFiles2/2022/08/287806398_7760.jpg)
[이미지 = utoimage]
카스퍼스키에 따르면 지난 사분기 문제의 취약점에 대한 익스플로잇 시도는 최소 4886회 기록됐다고 한다. 이는 2022년 1사분기에 비해 무려 8배나 늘어난 수치다. 카스퍼스키는 이 취약점이 공격자들 사이에서 인기가 높은 것은 익스플로잇 난이도가 낮기 때문이라고 추정하고 있다. “아직까지는 산업별로 특별히 차이가 있어 보이지는 않습니다. 무차별적인 익스플로잇 시도가 이어지고 있다는 것이죠. 다만 에너지, 연구 개발, IT, 금융, 에너지 쪽에서 조금 더 발견되고 있고, 주로 악성 오피스 문서를 통해 악성 스크립트가 실행되도록 유도하는 방식으로 공격이 진행되고 있습니다.”
MSHTML 관련 오류를 겨냥한 공격은, 지난 사분기에 MS 제품에서 발견된 여러 가지 취약점들을 노린 공격들과 함께 크게 늘어났다. 다만 증가의 정도만 보면 MSHTML 취약점에 대한 익스플로잇이 가장 가파른 상승 곡선을 그린 게 맞지만, 절대적 수치에 있어서는 MSHTML 취약점이 가장 익스플로잇이 많이 된 취약점은 아니다. 카스퍼스키에 의하면 “2022년 2사분기 모든 플랫폼에서 발견된 익스플로잇 공격의 82%가 윈도 취약점들과 연루됐다”고 한다.
위협 행위자들에게 있어서는 오래된 것들이 높은 가치를 발휘해
카스퍼스키가 조사한 바에 의하면 아직도 2017년과 2018년에 발견된 취약점들이 공격자들 사이에서 널리 익스플로잇 되고 있다고 한다. 그 중 하나는 CVE-2018-0802라는 번호가 붙은 원격 코드 실행 취약점이다. MS 오피스에 있는 것으로, 지난 사분기 동안 345827번 공격을 당했다. 메모리 오류 취약점인 CVE-2017-11882는 같은 시기 140623번 표적이 됐고, 오피스 및 메모장 취약점인 CVE-2017-0199는 60132번 공격을 받았다.
최근 취약점들 중 많은 공격을 받았던 건 폴리나(Follina)라고 불리는 CVE-2022-30190이다. MSDT라는 요소에서 발견된 취약점으로, 원격 코드 실행을 가능하게 하며, 올해 MS 생태계에서 발견된 다섯 가지 제로데이 취약점 중 하나다.
“2사분기 동안 오래된 MS 오피스 취약점들만 50만 번 이상 익스플로잇 됐습니다. 오래된 소프트웨어를 패치하지 않고 사용했을 때 얼마나 위험해질 수 있는지를 드러내는 사례입니다. 오래된 취약점들은 공격자들 사이에서 인기가 높습니다. 익스플로잇 방법이 연구될 대로 연구되었기 때문입니다. 아직까지 공격자들이 가장 많이 익스플로잇 하는 것은 오래된 취약점들이라고 말할 수 있습니다.” 카스퍼스키의 설명이다. 새로운 취약점에만 관심을 갖는 건 오히려 보안 전문가들과 보안 매체들이라고도 볼 수 있다.
오래된 취약점들 중에서도 MS 제품의 취약점들은 더욱 인기가 많다. 사용자가 많은 소프트웨어는 그만큼 잦은 공격의 대상이 되고, 연구도 많이 된다. 최근 조사된 바에 따르면 공격자들의 취약점 익스플로잇 시간은 단축되고 있다고 한다. 보안 업체 라피드7(Rapid7)의 경우 작년 이미 공개된 취약점의 익스플로잇에 걸리는 평균 시간은 12일에 불과했다고 발표했었다. 2020년 같은 조사에서 기록된 숫자는 42일이었다.
라피드7은 이것이 제로데이 취약점의 가파른 증가와 관련이 있다고 보고 있다. “2020년에서 2021년으로 넘어오면서 취약점 익스플로잇에 걸리는 시간이 너무나 갑자기 줄어들었습니다. 제로데이 취약점들이 많이 발견됨에 따라 익스플로잇 방법이 빠르게 해커들 사이에 전파되는 모양입니다. 때문에 긴급 패치를 보다 빠르게 적용하는 것도 필요하고, 사건 대응 프로토콜들을 사전에 마련하는 것이 그 어느 때보다 절실히 필요합니다.”
3줄 요약
1. MS 브라우저 엔진의 MSHTML 요소에서 발견된 취약점, 지난 사분기 동안 자주 공격 당함.
2. 뿐만 아니라 모든 MS 제품들에서 발견된 취약점들이 각종 익스플로잇 공격에 시달리는 중.
3. 때문에 취약점 패치의 빠른 적용이 그 어느 때보다 절실한 상황.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 8.17.] 패치가 있으나 없으나 인기가 항상 높은 MS 생태계의 취약점](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
