Home > 전체기사
마이크로소프트의 2월 패치 중 하나, 완전한 해결에 실패했다
  |  입력 : 2020-05-15 11:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 해 여름에 발견된 ‘역 RDP 연결’ 취약점, 8월 패치 통해서 해결 못해
다시 2월에 패치 내놓은 MS...하지만 분석해 보니 문제의 일부만 해결하는 데 그쳐


[보안뉴스 문가용 기자] 지난 2월 마이크로소프트가 발표한 패치가 불안정한 것으로 밝혀졌다. 문제가 되고 있는 패치는 지난 해 8월에 1차적으로 배포되기 시작한 원격 데스크톱 프로토콜(RDP) 취약점 패치가 문제를 제대로 해결하지 않는다는 제보가 나오면서 다시 준비된 것이었다. 즉 취약점 해결에 두 번째 실패했다는 것이다.

[이미지 = iclickart]


이 때문에 픽스가 나왔음에도 공격자들은 해당 취약점을 통해 여전히 민감한 정보를 훔치거나, 대단히 중요한 파일들을 조작하고, 웹 애플리케이션의 소스코드를 유출시키는 등 각종 악성 행위를 할 수 있는 상태다.

RDP에서의 취약점을 최초로 발견한 건 보안 업체 체크포인트(Check Point)다. 이 취약점에 대해 MS가 내놓은 두 번의 패치(작년 8월과 올해 2월)에서 문제를 발견한 것도 역시 체크포인트였다. 체크포인트에 의하면 지난 2월의 패치는 “RDP 클라이언트 자체에서 나타난 취약점을 다루고는 있지만, 관련된 API를 통해 취약점이 발동되는 부분은 해결하지 못하고 있는 상태”라고 한다.

2월 패치를 적용한다고 해서 시스템이 마비된다거나 하는 건 아니다. 체크포인트도 패치를 적용하는 것이 좋다고 권장한다. “윈도우를 사용하는 조직이라면 2월 패치를 적용하는 게 안전합니다. 그래야 RDP 클라이언트가 보호되는 것이 맞습니다. 다만 공격 경로가 전부 없어진 게 아니라는 것만 인지하고 있으면 됩니다. 특히 API와 관련된 기능들이 공격에 활용될 수 있습니다.”

어떤 취약점이기에?
MS가 패치를 두 번이나 불완전하게 내놓는 통에 예기치 않게 화제가 되고 있는 이 RDP 취약점은 체크포인트가 2019년 블랙햇 행사에서 제일 먼저 공개한 것이다. 간략히 설명해 이 취약점을 익스플로잇 하는 데 성공할 경우, 공격자는 ‘역 RDP 공격(reverse RDP attack)’을 실시할 수 있게 된다는 것이 발표 내용이었다.

RDP는 원격에서 윈도우 시스템에 접속해 관리할 수 있게 해주는 장치로, 일반적으로는 RDP 클라이언트가 RDP 서버로 연결돼 제어하는 형식으로 작동하는데, 이 취약점을 활용하면 RDP 서버가 RDP 클라이언트를 제어할 수 있게 된다는 것이다. 체크포인트는 연결의 흐름이 뒤집어진다는 건 각종 공격 가능성을 탄생시키는 것과 다름이 없다고 설명을 덧붙였다.

이에 마이크로소프트는 패치를 발표했다. 8월의 일이었다. 그러나 체크포인트가 이를 분석했을 때, 패치를 적용해도 여전히 같은 공격을 실시할 수 있다는 것을 알게 되었다. ‘역 RDP 공격’이 유효했던 것이다. 이를 MS에 알렸고, MS는 좀 더 시간을 들여 두 번째 패치를 2월에 발표했다. 체크포인트가 다시 분석한 결과, 문제가 일부만 해결되었음을 알게 되었다고 한다.

“현재 공격자들은 경로 조작 공격(path traversal attack)을 통해 역 RDP 상태를 만들 수 있는 상태입니다. 문제의 근간에는 PathCchCanonicalize라는 함수가 있는데, 이 함수를 우회하는 것이 가능하다는 걸 인지하지 못한 채 패치가 개발되었기 때문입니다. 그 외 나머지 부분들은 제대로 패치가 됐습니다. 이제 MS가 이 RDP 문제에 대하여서는 PathCchCanonicalize만 고치면 됩니다.” 체크포인트의 설명이다.

MS는 아직까지 체크포인트에 답변을 주지 않고 있는 상태다. 다만 MS의 대변인은 외신들과의 인터뷰를 통해 “현재 체크포인트가 제기한 문제를 접수 및 인지하고 있는 상태”라며, “내부적으로 문제를 분석 중에 있다”고 알렸다.

3줄 요약
1. 지난 해 여름 윈도우의 RDP에서 연결의 방향성을 뒤집는 취약점이 발견됨.
2. MS가 부랴부랴 패치를 내놓음. 그러나 문제가 고쳐지지 않았음.
3. MS는 다시 2월에 패치를 내놓음. 그러나 문제가 일부만 해결되었음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)