윈도우 ‘작업 스케줄러’ 취약점 신규 발견… 관리자 권한 빼앗아

[보안뉴스 이소미 기자] 윈도우 ‘작업 스케줄러’ (Task Scheduler)에서 기기 관리자 권한 탈취에 악용될 수 있는 보안 취약점 4건이 발견됐다.

관리자 승인 없이 시스템 권한을 받아 악성코드를 실행하고 이벤트 로그까지 조작할 수 있다고 사이버 보안 기업 사이뮬레이트가 밝혔다.

▲워싱턴주 레드먼드에 위치한 마이크로소프트 본사[자료: AP통신]

이 취약점은 작업 스케줄러에서 관리자가 로컬 및 원격에서 예정된 작업을 만들거나 지우고, 변경하거나 실행하는 등의 작업을 가능케 하는 ‘schtasks.exe’ 파일에서 발견됐다.

이를 악용하면 ‘사용자 계정 컨트롤’(UAC)을 우회해 승인 없이 시스템(SYSTEM) 권한으로 명령어를 실행할 수 있다. 공격자는 접근 권한을 높여 관리자 자격으로 악성 코드를 실행, 데이터 탈취와 시스템 추가 침해 등 심각한 피해를 입힐 수 있다.

공격자가 비밀번호 등 배치 로그온(Batch Logon) 방식으로 예약 작업을 등록할 경우 작업 스케줄러가 진행 중인 프로세스에 최대치의 권한을 허가하는데 따른 문제라고 사이뮬레이트는 설명했다.

다만, 공격자는 서버메시지블록(SMB) 서버에서 인증을 받아 NTLMv2 해시를 깨거나 권한 상승에 관한 취약점인 CVE-2023-21726를 공략해 비밀번호를 미리 확보해야 한다.

배치 로그온을 통한 예약 작업 등록은 탐지를 피하는데도 악용될 수 있다. 배치 로그온 인증에 필요한 XML 파일에 불필요한 문자를 매우 많이 추가, 작업이벤트로그(Task Event Log)나 보안로그(Security Log)를 덮어써 추적을 피하는 방식이다.

사이뮬레이트 관계자는 “이번에 처음 보고된 이 취약점은 단순한 UAC 우회 수준을 넘어섰다”며 “시스템 내 누구나 사칭해 최고 권한을 얻을 수 있다는 점에서 큰 위협”이라고 밝혔다.

[이소미 기자(boan4@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)