MS 패치 튜즈데이, 17년 된 취약점도 패치

17년 동안 발견하지 못한 오피스 취약점, 이번에 해결
다른 취약점과 결합하면 공격자가 시스템 전체 장악할 수 있어

[보안뉴스 문가용 기자] 마이크로소프트가 53개의 보안 패치를 발표했다. 그 중 MS 워드에서 발견된 CVE-2017-11882 취약점이 보안 전문가들의 관심을 받고 있다. 왜냐하면 지난 17년 동안 발견되지 않았던, 대단히 오래된 취약점이기 때문이다.

[이미지 = iclickart]

오늘 발표된 MS 패치는 윈도우, 인터넷 익스플로러 브라우저, 오피스, 엣지 브라우저, ASP.NET 코어, .NET 코어, 차크라 코어를 아우르는 것이었으며 ‘치명적’인 위험도가 붙은 것이 20개, ‘중요’ 위험도가 붙은 것이 30개, ‘중간’ 위험도가 붙은 것이 3개였다. 또한 취약점 세 가지는 이미 대중에게 공개된 것이었으나 실제 공격에 활용되지는 않았다고 한다. 제로데이는 없었다.

엠베드된 기기의 보안을 전문으로 하는 업체 엠베디(Embedi)의 전문가들은 이 패치 발표와 함께 별도의 보고서를 발표했다. MS 오피스 내에 17년간 잠복해 있었던 원격 코드 실행 취약점에 관한 것이었다. 엠베디에 의하면 MS조차 17년 내내 모르고 있었던 것이라고 한다.

이 취약점의 공식 명칭은 MS 오피스 메모리 커럽션 취약점이다. 오피스가 메모리 내 객체들을 제대로 처리하지 않아서 발생하는 것으로, 성공적으로 익스플로잇 할 경우 공격자가 임의의 코드를 사용자인 것처럼 실행시킬 수 있게 된다.

즉, 사용자가 관리자급 권한을 가진 자라면 공격자 역시 관리자급 권한을 갖게 된다. 사실상 시스템에 있는 모든 데이터를 주무를 수 있고, 무엇이든 새롭게 만들 수 있다는 뜻이다. 그래서 마이크로소프트는 이 취약점이 ‘관리자 권한’을 가진 사용자들에게 더 위험하다고 설명한다.

CVE-2017-11882로 등록된 이 17년산 취약점은 피싱 공격으로도 익스플로잇이 가능하다. 즉 어떻게 해서든 피해자가 악성 오피스 파일이나 악성 노트패드 파일을 열도록만 하면 감염시킬 수 있다는 뜻이다. 웹을 기반으로 한 공격이라면, 악성 웹사이트를 만들어 피해자가 방문하도록 유도하면 된다.

엠베디는 이 취약점을 증명하기 위해 익스플로잇도 따로 만들었다. 오피스 모든 버전에서 작동하며, 가장 최신 버전인 오피스 365 역시 이 공격을 허용한다고 한다. 크리에이터스 업데이트를 포함해 몇몇 윈도우 버전들에서도 익스플로잇이 가능한 취약점이기도 하다. “사용자가 악성 파일을 연 이후 할 일이 전혀 없습니다. 그저 여는 것만으로 끝입니다.”

그러니 익스플로잇이 된다 한들 사용자가 이상한 점을 느끼기가 힘들다. 그런데 이 공격이 성립하지 않는 한 가지 조건이 존재한다. 바로 ‘프로텍티드 뷰(protected view)’ 모드일 때다. 하지만 소셜 엔지니어링 공격을 통해 피해자가 해당 파일을 클라우드 내에서 실행하게 한다면 이 또한 피해갈 수 있다.

엠베디는 이 취약점을 지난 3월에 발견해 MS 측에 알렸다. 그리고 8개월만인 오늘 픽스가 배포됐다고 한다. 보안 업체 래피드7(Rapid7)의 수석 보안 전문가인 그렉 와이즈먼(Greg Wiseman)은 CVE-2017-11882에 대해 “대단히 위험한 취약점”이라고 평가한다.

“아주 약간의 소셜 엔지니어링 공격만 가미하면 다른 MS 시스템 관련 취약점들과 결합해서 엄청난 결과를 만들어낼 수 있게 해주는 취약점입니다. 윈도우 커널 취약점과 엮인다고 상상해보세요. 사실상 공격자가 시스템 전체를 장악할 수 있게 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)