MS 정기 패치일, 수주 동안 사용자 위협하던 폴리나 드디어 해결돼

6월 정기 패치일이다. MS는 두 자릿수의 취약점을 패치했는데, 이 중에 지난 몇 주 동안 MS 사용자들을 위협했던 폴리나의 픽스도 포함되어 있다. 또한 세 개의 초고위험도 취약점 역시 이번에 해결됐다. 그런데 원격 코드 실행 취약점이 절반이다.

[보안뉴스 문가용 기자] 마이크로소프트가 2022년 6월의 정기 패치를 진행했다. 이번 달 정기 패치가 주목받는 건 최근 MSDT에서 발견된 제로데이 취약점인 폴리나(Follina)가 해결되었기 때문이다. 하지만 폴리나 외에도 60개 가까운 취약점들이 패치되었기 때문에 폴리나와 관련이 없다고 여겨지는 조직들이라도 이번 패치를 눈여겨봐야 할 것이다.

[이미지 = utoimage]

가장 큰 관심을 끌었던 폴리나 취약점은 CVE-2022-30190이며, 이미 공격자들이 익스플로잇을 진행하고 있었기 때문에(즉 제로데이 취약점이었다) 가장 시급하게 패치해야 할 취약점으로 전문가들은 꼽고 있었다. 폴리나는 MSDT라는 요소에서 발견된 것으로 5월 30일 대대적으로 공개됐다. 공격자들은 폴리나를 통해 비교적 쉽게 원격 코드 실행 공격을 실시할 수 있게 되며, 오피스 매크로를 비활성화시켜도 공격이 가능하다고 한다. 패치 이전부터 익스플로잇 코드가 공개된 바 있다.

컨설팅 업체 레어스 컨설팅(Lares Consulting)의 수석 보안 컨설턴트인 앤디 질(Andy Gill)은 “이번 폴리나 패치는 코드 주입 공격 자체는 막을 수 있지만, 익스플로잇 코드를 통해 msdt.exe를 실행시키는 건 여전히 가능하다”고 설명한다. 즉 “가장 위험한 부분이 사라지긴 했지만 취약점을 발동시키는 것이 여전히 가능할 수 있다는 것”이다. 그렇기 때문에 “MSDT 업데이트를 적용한 뒤에도 MS가 이전에 제공한 위험 완화 대책을 지키는 것이 좋다”고 한다.

이번 달 패치된 취약점들 중 MS가 초고위험도로 분류한 건 다음 세 가지다.
1) CVE-2022-30136 : NFS에서 발견된 원격 코드 실행 취약점
2) CVE-2022-30163 : 윈도 하이퍼브이(Hyper-V)에서 발견된 원격 코드 실행 취약점
3) CVE-2022-30139 : 윈도 라이트웨이트 액세스 프로토콜에서 발견된 원격 코드 실행 취약점
그 외 다른 취약점들 대다수는 ‘고위험군’으로 분류됐다.

보안 업체 트렌드 마이크로(Trend Micro)의 더스틴 차일즈(Dustin Childs)는 블로그를 통해 “CVE-2022-30136은 지난 달 MS가 패치한 취약점인 CVE-2022-26937과 매우 흡사하다”고 밝혔다. CVE-2022-26937은 일종의 NFS 관련 취약점으로, 공격자들이 권한을 높여 코드를 실행할 수 있도록 해 준다. 조작된 RPC 호출을 취약한 서버에 전송함으로써 익스플로잇이 가능하다. 두 취약점 패치의 차이는 이번 달에 최신 버전의 NFS가 다뤄졌는데, 전 달에는 이전 버전의 NFS가 처리됐다는 것이다. “MS가 새로운 패치를 개발한 건지, 이전에 불완전한 패치를 개조한 건지는 아직 확실히 알 수가 없습니다.”

한 편 MS가 NFS에서 초고위험도 취약점을 발견해 패치한 건 이번 달로써 세 번 연속이다. 그러나 전문가들은 이것이 큰 문제가 되지 않을 것이라는 의견이다. NFS는 처음부터 비활성화 되어 있으며(즉 사용자가 의도적으로 활성화 시켜야만 작동을 한다), 아직 NFS 관련 취약점에 대한 익스플로잇 코드가 발견된 적이 없기 때문이다.

또 다른 초고위험도 취약점인 CVE-2022-30163은 윈도 하이퍼브이에서 발견됐고, 최대한 빠르게 패치를 적용할 것이 권장된다. 보안 업체 이머시브(Immersive)의 사이버 위협 연구 국장인 케빈 브린(Kevin Breen)은 이 취약점에 대해 “공격자들이 상당히 많은 관심을 보일 것”이라고 예측한다. “이 취약점을 통해 공격자들은 게스트용 가상기계에서 호스트로 이동할 수 있게 됩니다. 그러면 해당 호스트에서 운영되는 모든 가상기계에 접근할 수도 있게 되죠. 하지만 익스플로잇 난이도는 그리 낮은 편이 아닙니다. 그 때문에 아직은 버틸 수 있지만 공격자들의 관심이 집중되면 익스플로잇은 금방 개발됩니다.”

세 번째 초고위험도 취약점은 CVE-2022-30139이며, LDAP에서 이번 달 발견된 취약점 7개 중 하나다. 익스플로잇 난이도는 높은 편에 속하지만 최근 LDAP가 윈도 환경의 취약한 부분으로 떠오를 조짐이 보여 관심이 요구된다. 지난 달 정기 패치 때는 10개의 LDAP 관련 취약점이 피채됐다. LDAP에 대한 버그가 자꾸만 나타남에 따라 공격자들의 관심 또한 커질 것으로 전망된다.

그 외에도 차일즈는 CVE-2022-30148 역시 시급해 패치해야 할 취약점으로 꼽는다. 고위험군으로 분류된 이 취약점은 ‘윈도 원하는 상태 설정(Windows Desired State Configuration, DSC)’이라는 기능에서 발견됐으며, 익스플로잇 될 경우 공격자들에게 사용자 이름과 비밀번호를 평문으로 제공한다. DSC는 시스템 관리자들이 기계 설정을 유지하기 위해 주로 사용하는 기능이기도 하다. 따라서 여기서 추출되는 사용자 이름과 비밀번호는 치명적으로 작용할 수 있다.

차일즈는 “이번에 공개된 취약점들의 절반 이상이 원격 코드 실행 취약점”이라는 점을 지적한다. 그러면서 이 취약점들부터 패치하는 게 안전할 것이라고 권고했다. 브린은 셰어포인트 서버에서 발견된 원격 코드 실행 취약점인 CVE-2022-30157과 CVE-2022-30158을 꼽았다. 그 다음으로 로컬 권한 상승 취약점인 CVE-2022-30147도 중요하다고 언급됐다.

3줄 요약
1. 오늘은 마이크로소프트의 정기 패치일.
2. 몇 주째 골치 썩이던 폴리나 취약점이 드디어 패치됨.
3. 그 외 초고위험도 취약점도 3개나 있어 주의가 요망됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)