Home > 전체기사
마이크로소프트, MMPE에 대한 긴급 패치 발표
  |  입력 : 2018-04-05 14:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정 파일을 MMPE가 스캔하면 익스플로잇 시작
48시간 이내에 자동으로 적용 시작...별 다른 조치 취할 필요 없어


[보안뉴스 문가용 기자] 마이크로소프트가 다시 한 번 긴급 패치를 발표했다. 마이크로소프트의 멀웨어 프로텍션 엔진(MMPE)에서 발견된 원격 코드 실행 취약점인 CVE-2018-0986에 대한 것이다. 구글 프로젝트 제로 팀과 토마스 덜리엔(Thomas Dullien)이 찾아낸 버그라고 마이크로소프트는 공개했다.

[이미지 = iclickart]


MMPE는 mpengine.dll이라고도 알려져 있는데, 마이크로소프트가 제공하는 백신 및 안티스파이웨어에 스캐닝, 탐지, 제거 기능을 더해준다. 마이크로소프트는 보통 MMPE 업데이트를 한 달에 한 번 진행한다.

이번에 패치한 취약점은 치명적인 것으로 MMPE가 특수하게 조작된 파일은 제대로 스캔하지 못한다. 이 때문에 메모리 커럽션 공격이 발생할 수 있다. 공격자들이 성공적으로 익스플로잇할 경우 공격자가 공격 대상이 된 기기에서 악성 코드를 실행할 수 있게 되며, 이로써 시스템 통제권을 거의 완전히 가져오게 된다. 여기서부터는 데이터 탈취 및 관리자 계정 생성 등도 가능해진다.

이 취약점을 익스플로잇 하려면 MMPE가 특정 파일을 스캔하도록 유도해야 한다. 공격자 입장에서는 다양한 방법을 사용할 수 있는데, 기술적으로 특별히 어렵지 않다고 마이크로소프트는 주의를 주고 있다.

그 중 한 가지 방법은 피해자가 자주 방문하는 사이트에 해당 파일을 숨겨놓는 것이다. 또한 피싱 이메일을 통해, 혹은 소셜 엔지니어링 기법 등을 활용한 메신저 첨부파일로도 악성 파일을 전달하는 것이 가능하다. 사용자가 자주 이용하는 공유 사이트나 포럼 게시판 등을 활용하는 것도 좋은 방법이다.

이렇게 해서 피해자가 파일을 다운로드 받으면, 실시간 방어 소프트웨어가 실행되고 있다는 전제 하에, MMPE가 자동으로 파일을 스캔하기 시작한다. 사용자가 동의를 하거나 확인 버튼을 누를 필요도 없다. 그러면 익스플로잇이 성공한다. 실시간 스캔이 없더라도, 파일이 시스템 안에 남아있다면 언젠가 사용자가 스캔 기능을 발동시키면서 익스플로잇이 시작된다.

마이크로소프트는 “그러므로 취약한 MMPE를 시스템 내에서 운영하고 있는 모든 사용자 및 조직들이 잠재적인 위험에 처해 있다”고 강조한다. 마이크로소프트는 MMPE 1.1.14700.5 버전을 검토하며 스캔에서 오류를 일으키는 특정 파일들이 정상적으로 스캔되도록 만들었다고 한다. 또한 이번 업데이트를 통해 보안 관련 기능을 조금 더 강화했다고도 추가했다.

대부분의 관리자나 사용자들은 이번 패치를 설치하기 위해 특별히 뭔가를 할 필요는 없다. 패치 발표 이후 48시간 내에 자동으로 적용될 것이기 때문이다. 다만 그 적용 시간은 사용자가 어떤 소프트웨어를 사용하고 있으며, 인터넷 연결 상태가 어떠하며, 인프라 환경설정이 어떤 식으로 구성되어 있는지에 따라 달라질 것이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)