Home > Àüü±â»ç

MS Á¤±â ÆÐÄ¡ÀÏ, ¼öÁÖ µ¿¾È »ç¿ëÀÚ À§ÇùÇÏ´ø Æú¸®³ª µåµð¾î ÇØ°áµÅ

ÀÔ·Â : 2022-06-15 16:45
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
6¿ù Á¤±â ÆÐÄ¡ÀÏÀÌ´Ù. MS´Â µÎ ÀÚ¸´¼öÀÇ Ãë¾àÁ¡À» ÆÐÄ¡Çߴµ¥, ÀÌ Áß¿¡ Áö³­ ¸î ÁÖ µ¿¾È MS »ç¿ëÀÚµéÀ» À§ÇùÇß´ø Æú¸®³ªÀÇ ÇȽºµµ Æ÷ÇԵǾî ÀÖ´Ù. ¶ÇÇÑ ¼¼ °³ÀÇ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ ¿ª½Ã À̹ø¿¡ ÇØ°áµÆ´Ù. ±×·±µ¥ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ Àý¹ÝÀÌ´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®°¡ 2022³â 6¿ùÀÇ Á¤±â ÆÐÄ¡¸¦ ÁøÇàÇß´Ù. À̹ø ´Þ Á¤±â ÆÐÄ¡°¡ ÁÖ¸ñ¹Þ´Â °Ç ÃÖ±Ù MSDT¿¡¼­ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÎ Æú¸®³ª(Follina)°¡ ÇØ°áµÇ¾ú±â ¶§¹®ÀÌ´Ù. ÇÏÁö¸¸ Æú¸®³ª ¿Ü¿¡µµ 60°³ °¡±î¿î Ãë¾àÁ¡µéÀÌ ÆÐÄ¡µÇ¾ú±â ¶§¹®¿¡ Æú¸®³ª¿Í °ü·ÃÀÌ ¾ø´Ù°í ¿©°ÜÁö´Â Á¶Á÷µéÀÌ¶óµµ À̹ø ÆÐÄ¡¸¦ ´«¿©°ÜºÁ¾ß ÇÒ °ÍÀÌ´Ù. 

[À̹ÌÁö = utoimage]


°¡Àå Å« °ü½ÉÀ» ²ø¾ú´ø Æú¸®³ª Ãë¾àÁ¡Àº CVE-2022-30190À̸ç, ÀÌ¹Ì °ø°ÝÀÚµéÀÌ ÀͽºÇ÷ÎÀÕÀ» ÁøÇàÇÏ°í ÀÖ¾ú±â ¶§¹®¿¡(Áï Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À̾ú´Ù) °¡Àå ½Ã±ÞÇÏ°Ô ÆÐÄ¡ÇØ¾ß ÇÒ Ãë¾àÁ¡À¸·Î Àü¹®°¡µéÀº ²Å°í ÀÖ¾ú´Ù. Æú¸®³ª´Â MSDT¶ó´Â ¿ä¼Ò¿¡¼­ ¹ß°ßµÈ °ÍÀ¸·Î 5¿ù 30ÀÏ ´ë´ëÀûÀ¸·Î °ø°³µÆ´Ù. °ø°ÝÀÚµéÀº Æú¸®³ª¸¦ ÅëÇØ ºñ±³Àû ½±°Ô ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÇ¸ç, ¿ÀÇǽº ¸ÅÅ©·Î¸¦ ºñÈ°¼ºÈ­½ÃÄѵµ °ø°ÝÀÌ °¡´ÉÇÏ´Ù°í ÇÑ´Ù. ÆÐÄ¡ ÀÌÀüºÎÅÍ ÀͽºÇ÷ÎÀÕ Äڵ尡 °ø°³µÈ ¹Ù ÀÖ´Ù.

ÄÁ¼³Æà ¾÷ü ·¹¾î½º ÄÁ¼³ÆÃ(Lares Consulting)ÀÇ ¼ö¼® º¸¾È ÄÁ¼³ÅÏÆ®ÀÎ ¾Øµð Áú(Andy Gill)Àº ¡°À̹ø Æú¸®³ª ÆÐÄ¡´Â ÄÚµå ÁÖÀÔ °ø°Ý ÀÚü´Â ¸·À» ¼ö ÀÖÁö¸¸, ÀͽºÇ÷ÎÀÕ Äڵ带 ÅëÇØ msdt.exe¸¦ ½ÇÇà½ÃÅ°´Â °Ç ¿©ÀüÈ÷ °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇÑ´Ù. Áï ¡°°¡Àå À§ÇèÇÑ ºÎºÐÀÌ »ç¶óÁö±ä ÇßÁö¸¸ Ãë¾àÁ¡À» ¹ßµ¿½ÃÅ°´Â °ÍÀÌ ¿©ÀüÈ÷ °¡´ÉÇÒ ¼ö ÀÖ´Ù´Â °Í¡±ÀÌ´Ù. ±×·¸±â ¶§¹®¿¡ ¡°MSDT ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇÑ µÚ¿¡µµ MS°¡ ÀÌÀü¿¡ Á¦°øÇÑ À§Çè ¿ÏÈ­ ´ëÃ¥À» ÁöÅ°´Â °ÍÀÌ ÁÁ´Ù¡±°í ÇÑ´Ù.

À̹ø ´Þ ÆÐÄ¡µÈ Ãë¾àÁ¡µé Áß MS°¡ ÃÊ°íÀ§Çèµµ·Î ºÐ·ùÇÑ °Ç ´ÙÀ½ ¼¼ °¡Áö´Ù.
1) CVE-2022-30136 : NFS¿¡¼­ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
2) CVE-2022-30163 : À©µµ ÇÏÀÌÆÛºêÀÌ(Hyper-V)¿¡¼­ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
3) CVE-2022-30139 : À©µµ ¶óÀÌÆ®¿þÀÌÆ® ¾×¼¼½º ÇÁ·ÎÅäÄÝ¿¡¼­ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
±× ¿Ü ´Ù¸¥ Ãë¾àÁ¡µé ´ë´Ù¼ö´Â ¡®°íÀ§Ç豺¡¯À¸·Î ºÐ·ùµÆ´Ù.

º¸¾È ¾÷ü Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro)ÀÇ ´õ½ºÆ¾ Â÷ÀÏÁî(Dustin Childs)´Â ºí·Î±×¸¦ ÅëÇØ ¡°CVE-2022-30136Àº Áö³­ ´Þ MS°¡ ÆÐÄ¡ÇÑ Ãë¾àÁ¡ÀÎ CVE-2022-26937°ú ¸Å¿ì Èí»çÇÏ´Ù¡±°í ¹àÇû´Ù. CVE-2022-26937Àº ÀÏÁ¾ÀÇ NFS °ü·Ã Ãë¾àÁ¡À¸·Î, °ø°ÝÀÚµéÀÌ ±ÇÇÑÀ» ³ô¿© Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖµµ·Ï ÇØ ÁØ´Ù. Á¶ÀÛµÈ RPC È£ÃâÀ» Ãë¾àÇÑ ¼­¹ö¿¡ Àü¼ÛÇÔÀ¸·Î½á ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏ´Ù. µÎ Ãë¾àÁ¡ ÆÐÄ¡ÀÇ Â÷ÀÌ´Â À̹ø ´Þ¿¡ ÃֽŠ¹öÀüÀÇ NFS°¡ ´Ù·ïÁ³´Âµ¥, Àü ´Þ¿¡´Â ÀÌÀü ¹öÀüÀÇ NFS°¡ 󸮵ƴٴ °ÍÀÌ´Ù. ¡°MS°¡ »õ·Î¿î ÆÐÄ¡¸¦ °³¹ßÇÑ °ÇÁö, ÀÌÀü¿¡ ºÒ¿ÏÀüÇÑ ÆÐÄ¡¸¦ °³Á¶ÇÑ °ÇÁö´Â ¾ÆÁ÷ È®½ÇÈ÷ ¾Ë ¼ö°¡ ¾ø½À´Ï´Ù.¡±

ÇÑ Æí MS°¡ NFS¿¡¼­ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡À» ¹ß°ßÇØ ÆÐÄ¡ÇÑ °Ç À̹ø ´Þ·Î½á ¼¼ ¹ø ¿¬¼ÓÀÌ´Ù. ±×·¯³ª Àü¹®°¡µéÀº ÀÌ°ÍÀÌ Å« ¹®Á¦°¡ µÇÁö ¾ÊÀ» °ÍÀ̶ó´Â ÀÇ°ßÀÌ´Ù. NFS´Â óÀ½ºÎÅÍ ºñÈ°¼ºÈ­ µÇ¾î ÀÖÀ¸¸ç(Áï »ç¿ëÀÚ°¡ ÀǵµÀûÀ¸·Î È°¼ºÈ­ ½ÃÄѾ߸¸ ÀÛµ¿À» ÇÑ´Ù), ¾ÆÁ÷ NFS °ü·Ã Ãë¾àÁ¡¿¡ ´ëÇÑ ÀͽºÇ÷ÎÀÕ Äڵ尡 ¹ß°ßµÈ ÀûÀÌ ¾ø±â ¶§¹®ÀÌ´Ù.

¶Ç ´Ù¸¥ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ÀÎ CVE-2022-30163Àº À©µµ ÇÏÀÌÆÛºêÀÌ¿¡¼­ ¹ß°ßµÆ°í, ÃÖ´ëÇÑ ºü¸£°Ô ÆÐÄ¡¸¦ Àû¿ëÇÒ °ÍÀÌ ±ÇÀåµÈ´Ù. º¸¾È ¾÷ü À̸ӽúê(Immersive)ÀÇ »çÀ̹ö À§Çù ¿¬±¸ ±¹ÀåÀÎ Äɺó ºê¸°(Kevin Breen)Àº ÀÌ Ãë¾àÁ¡¿¡ ´ëÇØ ¡°°ø°ÝÀÚµéÀÌ »ó´çÈ÷ ¸¹Àº °ü½ÉÀ» º¸ÀÏ °Í¡±À̶ó°í ¿¹ÃøÇÑ´Ù. ¡°ÀÌ Ãë¾àÁ¡À» ÅëÇØ °ø°ÝÀÚµéÀº °Ô½ºÆ®¿ë °¡»ó±â°è¿¡¼­ È£½ºÆ®·Î À̵¿ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ±×·¯¸é ÇØ´ç È£½ºÆ®¿¡¼­ ¿î¿µµÇ´Â ¸ðµç °¡»ó±â°è¿¡ Á¢±ÙÇÒ ¼öµµ ÀÖ°Ô µÇÁÒ. ÇÏÁö¸¸ ÀͽºÇ÷ÎÀÕ ³­À̵µ´Â ±×¸® ³·Àº ÆíÀÌ ¾Æ´Õ´Ï´Ù. ±× ¶§¹®¿¡ ¾ÆÁ÷Àº ¹öÆ¿ ¼ö ÀÖÁö¸¸ °ø°ÝÀÚµéÀÇ °ü½ÉÀÌ ÁýÁߵǸé ÀͽºÇ÷ÎÀÕÀº ±Ý¹æ °³¹ßµË´Ï´Ù.¡±

¼¼ ¹ø° ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡Àº CVE-2022-30139À̸ç, LDAP¿¡¼­ À̹ø ´Þ ¹ß°ßµÈ Ãë¾àÁ¡ 7°³ Áß Çϳª´Ù. ÀͽºÇ÷ÎÀÕ ³­À̵µ´Â ³ôÀº Æí¿¡ ¼ÓÇÏÁö¸¸ ÃÖ±Ù LDAP°¡ À©µµ ȯ°æÀÇ Ãë¾àÇÑ ºÎºÐÀ¸·Î ¶°¿À¸¦ Á¶ÁüÀÌ º¸¿© °ü½ÉÀÌ ¿ä±¸µÈ´Ù. Áö³­ ´Þ Á¤±â ÆÐÄ¡ ¶§´Â 10°³ÀÇ LDAP °ü·Ã Ãë¾àÁ¡ÀÌ ÇÇäµÆ´Ù. LDAP¿¡ ´ëÇÑ ¹ö±×°¡ ÀÚ²Ù¸¸ ³ªÅ¸³²¿¡ µû¶ó °ø°ÝÀÚµéÀÇ °ü½É ¶ÇÇÑ Ä¿Áú °ÍÀ¸·Î Àü¸ÁµÈ´Ù.

±× ¿Ü¿¡µµ Â÷ÀÏÁî´Â CVE-2022-30148 ¿ª½Ã ½Ã±ÞÇØ ÆÐÄ¡ÇØ¾ß ÇÒ Ãë¾àÁ¡À¸·Î ²Å´Â´Ù. °íÀ§Ç豺À¸·Î ºÐ·ùµÈ ÀÌ Ãë¾àÁ¡Àº ¡®À©µµ ¿øÇÏ´Â »óÅ ¼³Á¤(Windows Desired State Configuration, DSC)¡¯À̶ó´Â ±â´É¿¡¼­ ¹ß°ßµÆÀ¸¸ç, ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì °ø°ÝÀڵ鿡°Ô »ç¿ëÀÚ À̸§°ú ºñ¹Ð¹øÈ£¸¦ Æò¹®À¸·Î Á¦°øÇÑ´Ù. DSC´Â ½Ã½ºÅÛ °ü¸®ÀÚµéÀÌ ±â°è ¼³Á¤À» À¯ÁöÇϱâ À§ÇØ ÁÖ·Î »ç¿ëÇÏ´Â ±â´ÉÀ̱⵵ ÇÏ´Ù. µû¶ó¼­ ¿©±â¼­ ÃßÃâµÇ´Â »ç¿ëÀÚ À̸§°ú ºñ¹Ð¹øÈ£´Â Ä¡¸íÀûÀ¸·Î ÀÛ¿ëÇÒ ¼ö ÀÖ´Ù.

Â÷ÀÏÁî´Â ¡°À̹ø¿¡ °ø°³µÈ Ãë¾àÁ¡µéÀÇ Àý¹Ý ÀÌ»óÀÌ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡¡±À̶ó´Â Á¡À» ÁöÀûÇÑ´Ù. ±×·¯¸é¼­ ÀÌ Ãë¾àÁ¡µéºÎÅÍ ÆÐÄ¡ÇÏ´Â °Ô ¾ÈÀüÇÒ °ÍÀ̶ó°í ±Ç°íÇß´Ù. ºê¸°Àº ¼Î¾îÆ÷ÀÎÆ® ¼­¹ö¿¡¼­ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÎ CVE-2022-30157°ú CVE-2022-30158À» ²Å¾Ò´Ù. ±× ´ÙÀ½À¸·Î ·ÎÄà ±ÇÇÑ »ó½Â Ãë¾àÁ¡ÀÎ CVE-2022-30147µµ Áß¿äÇÏ´Ù°í ¾ð±ÞµÆ´Ù.

3ÁÙ ¿ä¾à
1. ¿À´ÃÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ Á¤±â ÆÐÄ¡ÀÏ. 
2. ¸î ÁÖ° °ñÄ¡ ½âÀÌ´ø Æú¸®³ª Ãë¾àÁ¡ÀÌ µåµð¾î ÆÐÄ¡µÊ.
3. ±× ¿Ü ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡µµ 3°³³ª ÀÖ¾î ÁÖÀÇ°¡ ¿ä¸ÁµÊ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)