±ÇÇÑ »ó½Â½ÃÄÑÁÖ´Â Ãë¾àÁ¡À¸·Î MS´Â ÇØ´çµÇ´Â Àåºñ ¾÷µ¥ÀÌÆ® ¸¶ÃÄ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±ÛÀÇ ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀÀÌ ÇöÀç ÇØÄ¿µéÀÌ È°¹ßÇÏ°Ô ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´Â À©µµ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù. À©µµ Ä¿³Î ¾ÏÈ£È µå¶óÀ̹öÀÎ cng.sys°¡ Áö¿øÇÏ´Â IOCTL Áß¿¡¼ ¹ß°ßµÈ Á¤¼ö ¿À¹öÇ÷οì Ãë¾àÁ¡À¸·Î, ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚ´Â ±ÇÇÑ »ó½Â ¹× »÷µå¹Ú½º Å»Ãâ °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
[À̹ÌÁö = utoimage]
ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ¼Ò¼Ó º¸¾È Àü¹®°¡ ¸¶Å׿콺 ÁÖ¸£Á÷(Mateusz Jurczyk)°ú ¼¼¸£°ÔÀÌ ±Û¶óÁÖ³ëºê(Sergei Glazunov)°¡ ¹ß°ßÇß´Ù. ¶ÇÇÑ CVE-2020-17087À̶ó´Â °ü¸®¹øÈ£°¡ ºÙ¾ú´Ù. IOCTL 0x390400ÀÇ cng!CfgAdtpFormatPropertyBlock ÇÔ¼ö¿¡¼ ¹ß°ßµÆ´Ù°í ÇÑ´Ù.
ÁÖ¸£Á÷Àº ºí·Î±× ±ÛÀ» ÅëÇØ ¡°À©µµ Ä¿³Î ¾ÏÈ£È µå¶óÀ̹ö(Windows Kernel Cryptography Driver, cng.sys)°¡ \Device\CNG Àåºñ¸¦ »ç¿ëÀÚ ¸ðµå ÇÁ·Î±×·¥µé¿¡ ³ëÃâ½ÃÅ°°í Áß´ëÇÑ ÀÔ·Â ±¸Á¶¸¦ °¡Áø ´Ù¾çÇÑ IOCTLÀ» Áö¿øÇϱ⠽ÃÀÛÇÑ´Ù¡±°í ÀÌ Ãë¾àÁ¡¿¡ ´ëÇØ ¼³¸íÇß´Ù. ±×·¯¸é¼ ¡°±ÇÇÑ »ó½Â °ø°ÝÀ» À§ÇØ ·ÎÄÿ¡¼ ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ´Ù¡±°í µ¡ºÙ¿´´Ù.
ÀÌ Ãë¾àÁ¡ÀÇ »ó¼¼ ±â¼ú Á¤º¸°¡ ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ³»ºÎ¿¡¼ °øÀ¯µÈ °Ç 10¿ù 22ÀÏÀÇ ÀÏÀÌ´Ù. ÀÌ¹Ì °ø°ÝÀÚµé »çÀÌ¿¡¼ È°¿ëÀÌ µÇ°í ÀÖ´ø Ãë¾àÁ¡À̱⠶§¹®¿¡ ´ëÁߵ鿡°Ô °øÀ¯µÇ±â ½ÃÀÛÇÑ °Ç ±×·ÎºÎÅÍ 1ÁÖÀÏÀÌ Áö³ ½ÃÁ¡¿¡¼¿´´Ù. ¸¸¾à °ø°ÝÀÚµéÀÇ ½ÇÁ¦ ÀͽºÇ÷ÎÀÕÀÌ ¾ø¾ú´Ù¸é ÀÌ Ãë¾àÁ¡Àº MS¿¡°Ô¸¸ Àº¹ÐÇÏ°Ô °øÀ¯µÇ¾úÀ» °ÍÀ̶ó°í ÇÑ´Ù.
¿¬±¸¿øµéÀº °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕÀÇ ¼Ò½ºÄڵ带 ÇÔ²² °ø°³Çß´Ù. µÑ¿¡ µû¸£¸é ¡°À©µµ 10 1903(64ºñÆ®)ÀÇ ÃֽŠºôµå¿¡¼µµ ÅëÇÏ´Â °É ½ÇÇèÀ» ÅëÇØ È®ÀÎÇß´Ù¡±°í ÇÑ´Ù. ´Ù¸¸ ÀÌ ¹®Á¦°¡ À©µµ 7¿¡µµ ÀÖÀ» °¡´É¼ºÀº ³·¾Æ º¸Àδٴ °Ô ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀÀÇ ÀÔÀåÀÌ´Ù.
ÇöÀç±îÁö ÇÁ·ÎÁ§Æ® Á¦·Î°¡ Á¶»çÇÑ ¹Ù¿¡ µû¸£¸é ÀÌ Ãë¾àÁ¡Àº Ç¥Àû °ø°Ý¿¡ ÁÖ·Î ÀͽºÇ÷ÎÀÕ µÇ´Â °ÍÀ¸·Î º¸Àδٰí ÇÑ´Ù. ÇÏÁö¸¸ ¹Ì±¹ ´ë¼±°ú °ü·ÃµÈ °ø°ÝÀº ¾ÆÁ÷±îÁö ÇÑ °Çµµ ¹ß°ßÇÒ ¼ö ¾ø¾ú´Ù°í ÁÖÀåÇß´Ù.
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ÀÌ ³»¿ëÀ» Á¢ÇÑ ÈÄ ¡°°í°´µéÀ» º¸È£Çϱâ À§ÇØ Áï½Ã Á¶»ç¿¡ Âø¼öÇß°í ¿µÇâÀÌ ÀÖ´Â ÀåºñµéÀ» ÀüºÎ ¾÷µ¥ÀÌÆ® Çß´Ù¡±°í ¹ßÇ¥Çß´Ù. ±×·¯¸é¼ ¡°º¸¾È ¾÷µ¥ÀÌÆ®¸¦ °³¹ßÇÏ°í ¹èÆ÷ÇÏ´Â °Ç ´Ã ¡®½Ã°£°úÀÇ ÀüÀ¡±À̶ó¸ç ¡°Ç×»ó °í°´µé¿¡°Ô °¡Àå ¾ÈÀüÇÑ È¯°æÀ» Á¦°øÇϱâ À§Çؼ ºü¸£°Ô ¿òÁ÷ÀÏ °Í¡±À̶ó°í ¼³¸íÇß´Ù.
À̹ø Ãë¾àÁ¡ÀÇ ±â¼ú »ó¼¼ ³»¿ëÀº ¿©±â(https://bugs.chromium.org/p/project-zero/issues/detail?id=2104)¸¦ ÅëÇØ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
3ÁÙ ¿ä¾à
1. À©µµ ¾ÏÈ£È ±â¼ú °ü·Ã ¿ä¼Ò¿¡¼ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¹ß°ßµÊ.
2. °ø°ÝÀÚµéÀÌ ¸ÕÀú ¹ß°ßÇØ ½ÇÁ¦ Ç¥Àû °ø°Ý¿¡ È°¿ëÇÏ°í ÀÖ´ø »óÅÂ.
3. ±¸±ÛÀÌ À̸¦ ¹ß°ßÇØ MS¿¡ ¾Ë¸®°í, MS´Â ÃÖ´ëÇÑ ¸¹Àº ÆÐÄ¡ °ø°³.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>