MS의 5월 정기 패치에 다뤄진 취약점은 총 111개

입력 : 2020-05-13 11:21

역대 세 번째로 큰 규모...첫 번째와 두 번째 기록도 올해 갱신돼
CVSS 점수와 실제 위험성에 대한 평가 갈리는 경우 있어...우선 순위 체제 수립해야

[보안뉴스 문가용 기자] 마이크로소프트가 5월의 정기 패치를 발표했다. 무려 111개의 취약점에 대한 업데이트가 진행됐다. 이 중 16개가 ‘치명적인 위험도’를 가진 것으로 나타났으며, 95개는 ‘중요’ 등급을 받았다.


111개는 마이크로소프트가 이른바 ‘패치 튜즈데이(Patch Tuesday)’를 시작한 이래로 세 번째로 큰 규모다. 1위는 115개로, 올해 3월에 수립된 기록이다. 2위는 113개로 역시 올해 4월 기록됐다. 이번 달 취약점은 윈도우, 에지 브라우저, 샤크라코어, 인터넷 익스플로러, 오피스, 오피스 서비스, 웹 앱스, 비주얼 스튜디오, 마이크로소프트 다이내믹스, 닷넷 프레임워크, 닷넷 코어, 파워 BI에서 발견됐다. 111개 중 실제 공격에 활용되고 있는 건 없다.

가장 위험한 취약점은 CVE-2020-1023, CVE-2020-1102, CVE-2020-1024인 것으로 평가된다. 전부 원격 코드 실행 공격으로 이어지는, 치명적 위험도를 가진 취약점들이며, 마이크로소프트 셰어포인트에서 발견됐다. 익스플로잇에 성공할 경우 공격자는 시스템에 접근해 데이터 열람, 편집, 삭제 등을 할 수 있고, 악성 코드를 직접 실행할 수 있게 된다.

보안 업체 오토맥스(Automax)의 제품 마케팅 담당자인 제이 굿만(Jay Goodman)은 “셰어포인트와 같은 시스템에서 취약점이 나타났다는 것 자체가 문제”라고 짚는다. “셰어포인트와 같은 시스템들은 네트워크에서 분리하고 패치하는 게 어려울 때가 많습니다. 때문에 취약점들이 그냥 그대로 남겨지는 경우가 종종 있습니다. 공격자들은 이런 점을 적극 활용해 네트워크에 침투하고 횡적으로 움직입니다.”

CVE-2020-1117 취약점도 알아둘 필요가 있다. 마이크로소프트 컬러 매니지먼트(Microsoft Color Managemnet)에서 나온 원격 코드 실행 취약점이다. CVE-2020-1126은 미디어 파운데이션(Media Foundation)에서 발견된 메모리 변형 취약점이다. 둘 다 치명적 위험도를 가진 것으로 분석됐으며, 피해자가 특정 링크를 클릭하거나 웹 페이지를 방문하도록 만듦으로써 익스플로잇이 가능하게 된다. 익스플로잇에 성공하면 공격자는 현재 사용자와 같은 권한을 갖게 된다.

보안 업체 테너블(Tenable)의 엔지니어인 사트남 나랑(Satnam Narang)은 “만약 관리자 권한을 가지고 있는 사용자가 익스플로잇을 당하게 될 경우 공격자는 임의의 프로그램을 설치하고 계정을 새롭게 만들며 데이터를 마음껏 주무를 수 있게 된다”고 경고를 추가했다. 하지만 마이크로소프트는 이 두 가지 취약점에 대해 “익스플로잇 가능성이 낮다”고 설명하고 있다.

마이크로소프트가 익스플로잇 가능성을 높게 점친 취약점들은 다음과 같다.
1) CVE-2020-1054, CVE-2020-1143 : Win32k에서 발견된 권한 상승 취약점
2) CVE-2020-1135 : 윈도우 그래픽 컴포넌트(Windows Graphics Component)에서 발견된 권한 상승 취약점
이 취약점들은 시스템에 대한 침투가 이뤄진 이후 활용될 수 있다.

보안 업체 이반티(Ivanti)의 수석 제품 관리자인 토드 셸(Todd Schell)은 “이번 패치 노트와 보안 권고문을 통해 볼 수 있듯이 CVSS 점수가 높다고 해서 위험성이 실제적으로 높다는 건 아니”라고 강조한다. “MS가 이번에 실제 익스플로잇 가능성이 높다고 한 취약점들 대부분 CVSS 상으로는 ‘중요’ 등급을 받았습니다. 요즘 이런 식의 취약점 분석이 슬슬 등장하고 있는 분위기입니다. CVSS 점수도 표기하고, 실제 익스플로잇 가능성을 따로 분석한 내용도 따로 표기하는 방식 말이죠.”

CVE-2020-1058과 CVE-2020-1060은 VB스크립트에서 발견된 원격 코드 실행 취약점으로, 역시 ‘치명적 위험도’를 가진 것으로 분석되지는 않았다. 하지만 실제 공격에 활용될 가능성은 높은 것으로 나타났다. CVSS 점수와 실제 위험성이 다를 수 있음을 보여주는 또 다른 사례다. 익스플로잇에 성공할 경우 공격자들은 현재 사용자와 같은 권한을 갖게 되며, 권한에 따라 다양한 악성 행위를 실시할 수 있게 된다고 한다.

오토맥스의 굿만은 “최근 들어 MS가 어마어마한 규모의 패치를 내놓기 시작했다”며 “보안 담당자들은 이를 취약점 우선 순위 관리 체제 정립의 기회로 삼아야 할 것”이라고 권고했다. 그러면서 “CVSS 점수 제도에 대한 고찰이 필요할 것”이라고 예측하기도 했다.

3줄 요약
1. MS, 5월 정기 패치 통해 역대 세 번째로 많은 111개 취약점 해결.
2. 치명적 위험도를 가진 취약점은 16개. 그러나 모두가 실제 위험성 가진 건 아님.
3. 연달아 대규모 패치 내놓는 MS. 이런 때 패치 관리 체제 수립하는 것이 어떨까.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 3

  SW 공급망 보안 가이드라인 1.0 발표.....

• 4

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 5

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...