마이크로소프트, 2월 정기 패치 통해 취약점 99개 해결

입력 : 2020-02-13 14:29

2020년 2월 정기 패치, 이번 달 무려 99개의 취약점 해결해
치명적 취약점은 12개...나머지는 전부 중위험군...공격에 활용되는 사례도 존재

[보안뉴스 문가용 기자] 마이크로소프트가 이번 달 정기 패치를 발표했다. 무려 CVE로 등록된 취약점 99개가 다뤄졌다. 지난 달 47개의 2배를 넘기는 숫자다. 99개 중 12개는 치명적 위험도를 가진 것으로 분석됐다. 나머지 87개는 전부 중위험군으로 분류됐다.


99개 취약점 중 5개는 이미 패치 전부터 알려진 취약점이고, 1개는 실제 공격에 활용되고 있는 것이었다. 마이크로소프트는 실제 공격을 당하고 있는 인터엣 익스플로러의 취약점 CVE-2020-0674에 대한 권고문을 지난 달에 발표한 바 있다. 당시의 발표에 따르면 이는 스크립팅 엔진의 메모리 변형을 일으키는 취약점이었다. 공격자가 이를 성공적으로 익스플로잇 할 경우 표적 시스템을 장악할 수 있다.

이 취약점을 익스플로잇 하는 다양한 시나리오 가운데 하나는 1) 취약점을 발동시키는 웹사이트를 특수하게 제작해 2) 피해자가 인터넷 익스플로러를 통해 접속하도록 유도하는 것이다. 인터넷 익스플로러를 사용하지 않는 사람을 노릴 때는, IE 렌더링 엔진을 호스팅 하는 앱이나 오피스 문서에 액티브엑스 컨트롤을 임베드 시켜서 공격할 수 있다. 하지만 공격자들의 실제 익스플로잇 방법은 아직 제대로 알려지지 않은 상태다.

이번에 패치된 취약점들 중 공격에 활용되지는 않지만 이미 널리 공개된 취약점은 다음과 같다. 전부 ‘중요 위험도’를 가진 것으로 나타났다.
1) CVE-2020-0683 : 윈도우 인스톨러의 권한 상승 취약점
2) CVE-2020-0686 : 윈도우 인스톨러의 권한 상승 취약점
3) CVE-2020-0706 : 마이크로소프트 브라우저 정보 노출 취약점
4) CVE-2020-0689 : 마이크로소프트 시큐어 부트의 보안 기능 우회 취약점

그 외에 원격 데스크톱(Remote Desktop)에서 익스플로잇 가능성이 높은 치명적 위험도의 취약점 두 개가 패치되기도 했다. CVE-2020-0681과 CVE-2020-0734로, 피해자가 공격자의 제어 하에 있는 취약한 서버에 연결되도록 유도하면 익스플로잇이 가능하다. 혹은 침해당한 원격 데스크톱 서버에 코드를 심는 방법도 활용할 수 있다. 하지만 익스플로잇을 ‘강제’할 방법은 없는 것으로 알려져 있다.

CVE-2020-0688라는 메모리 변형 취약점도 이번 패치에서 눈여겨볼 만하다. 마이크로소프트 익스체인지(Microsoft Exchange)에 있는 것으로, 소프트웨어가 메모리 내 객체들을 제대로 처리하지 못해서 발생한다. 공격자는 특수하게 조작된 이메일을 취약한 익스체인지 서버로 전송함으로써 익스플로잇 할 수 있고, 성공할 경우 임의의 코드를 실행하고 프로그램을 설치할 수 있게 된다. 데이터의 열람, 편집, 삭제도 가능하고 계정 생성도 할 수 있게 된다.

CVE-2020-0729는 치명적 위험도를 가진 코드 실행 취약점으로, 마이크로소프트의 LNK 파일 처리 과정에서 발생한다. 공격자는 악성 .lnk 파일이 포함된 휴대용 드라이브나 원격 공유를 피해자에게 건넴으로써 익스플로잇을 유도할 수 있다. 만약 익스플로잇이 성공할 경우 공격자는 로컬 사용자와 같은 권한을 갖게 된다. 윈도우 9, 10, 윈도우 서버 2008~2012 버전에 영향이 있다. 작년에 발견된 CVE-2019-1280과 비슷한 취약점인데, 이 취약점은 꽤나 공격자들 사이에서 인기가 높았다. 그러므로 패치 우선순위가 낮게 잡혀서는 안 된다.

3줄 요약
1. MS, 이번 달 정기 패치로 99개 취약점 해결.
2. 특히 지난 달 예고편만 나왔었던 ‘실제 익스플로잇 되고 있던 중’인 취약점도 해결.
3. 치명적 위험도 가진 취약점 12개를 최우선으로 패치하되, 나머지도 간과하지 말아야
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...