2024-03-19 20:35 (화)
MS, 사이버 스파이그룹이 사용한 원격코드실행 취약점 등 67개 버그 패치
상태바
MS, 사이버 스파이그룹이 사용한 원격코드실행 취약점 등 67개 버그 패치
  • 페소아 기자
  • 승인 2018.05.09 18:16
이 기사를 공유합니다

coding-1841550_640.jpg
마이크로소프트는 지난 화요일 패치데이 업데이트에서 제로데이 공격에 적극적으로 사용된 두 개의 취약점과 세부 정보가 공개된 두 개의 취약점을 포함해 67개의 버그를 수정했다.

첫번째 CVE-2018-8174는 윈도우 VBScript 엔진의 원격코드실행 취약점으로 매모리 객체를 부적절하게 처리해 발생한다. 공격자는 합법적인 사용자와 동일한 사용자 권한을 획득하고 궁극적으로 영향받는 시스템을 완벽하게 제어하기 위해 이 취약점을 악용할 수 있다.

지난달 중국 치후 360은 'BleepingComputer'라는 APT 그룹이 최신 버전의 인터넷 익스플로어 및 IE 커널을 사용하는 다른 응용프로그램에 미치는 이 취약점을 악용하고 있다고 보고했었다. 권고문에 따르면 마이크로소프트는 이 취약점을 발견에 대한 크레딧을 치후 360과 카스퍼스키 랩에게 주었다.

웹기반 공격시나리오에서 공격자는 인터넷 익스플로어를 통해 취약점을 악용하도록 제작된 웹사이트를 제공한 후 사용자가 웹사이트를 보도록 유도한다. 공격자는 IE 렌더링 엔진을 호스팅하는 응용 프로그램이나 마이크로소프트 오피스 문서에서 ‘safe for initialization’이라고 표시된 액티브X 컨트롤을 포함시킬 수 있으며, 이를 이용해 사용자에게 제공한 콘텐츠나 광고를 수락하게 하거나 웹사이트를 보게할 수 있다. 이 웹사이트에는 취약점을 악용하는 조작된 컨텐츠가 포함된다.

또 다른 제로데이인 CVE-2018-8120은 Win32k 구성요소가 메모리 객체를 제대로 처리하지 못해 발생하는 권한상승 취약점이다. 공격자가 자유롭게 제어할 수 있도록 커널모드에서 임의코드를 실행하는데 악용될 수 있다.

이 취약점을 악용하려면 공격자는 시스템에 먼저 로그인한 후, 취약점을 악용할 수 있는 특수하게 조작된 응용 프로그램을 실행하여 영향을 받는 시스템을 제어할 수 있다.

트랜드마이크로 제로데이 이니셔티브(ZDI)는 블로그 게시물을 통해 “악성코드가 실제로 얼마나 널리 퍼져있는지는 분명하지 않지만 취약점이 악성코드에 의해 활발하게 사용되고 있음이 보고 되었다. 버그는 이번에 패치된 7가지의 커널 권한상승 취약점 중 하나로, 이런 종류의 버그는 향후 멀웨어 제작자가 사용할 수 있다”고 밝혔다.

이전에는 공개되었지만 적극적으로 악용되지는 않은 취약점인 커널 이미지에서의 권한상승 취약점인 CVE-2018-8170, 커널에서 정보 유출 취약점인 CVE-2018-8148 역시 이번 업데이트를 통해 수정되었다.

패치된 다른 취약점들은 스크립팅 엔진의 메모리 손상 취약점, 챠크라(Chakra) 스크립팅 엔진 및 마이크로소프트 브라우저, 하이퍼-V(Hyper-V) 하이퍼바이제 제품의 원격코드 실행 문제를 포함하고 있다. 또한 에지(Edge) 브라우저, 익스체인지(Exchange), 오피스, 아웃룩 등 역시 포함되어 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★