마이크로소프트가 2021년 2월 패치 튜스데이에 패치된 윈도우 제로데이 취약점이 최소 2020년 여름부터 악용되었다고 밝혔다.
활발히 악용된 제로데이 버그는 CVE-2021-1732 윈도우 Win32K 권한 상승 취약점으로 추적된다.
CVE-2021-1732 취약점은 사용자와의 상호작용이 필요하지 않은 복잡성이 낮은 공격에서 기본 사용자 권한을 가진 공격자가 악용할 수 있다.
다행히 성공적인 악용을 위해서는 코드 실행 권한이 있어야 한다. 그러나 이는 피싱 이메일을 통해 전송된 악성 첨부 파일을 열도록 타깃을 속여 쉽게 달성할 수도 있다.
브리핑컴퓨터 보도에 따르면, 이 취약점은 DBAPPSecurity 연구원들이 12월 29일에 발견해 MSRC에 보고한 것으로, 보고서에 따르면 Bitter 또는 T-APT-17로 명명된 APT 그룹이 타깃 공격에 활발히 사용하고 있었다.
Bitter는 적어도 2013년부터 중국, 파키스탄 및 사우디아라비아를 대상으로 한 정보 도용 및 스파이 활동으로 유명하다. 관찰된 바와 같이 CVE-2021-1732는 윈도우 10 및 서버 최신 버전에도 영향을 미치지만, 공격자는 윈도우10 1909 시스템만을 노린 것으로 나타났다.
Bitter의 타깃 공격에 사용된 익스플로잇은 12월 11일 바이러스토탈에 공개되었지만, 마이크로소프트가 원격 분석 데이터를 분석 후 관찰한 사실에 따르면 공격자들은 2020년 중반부터 제로데이를 악용한 것으로 드러났다. DBAPPSecurity 연구원들은 12월 발견된, 공격에 사용 중인 샘플이 2020년 5월 편집된 사실 또한 발견했다.
2021년 2월부터 위협 행위자들은 중동 기기들을 대상으로 하는 소수 공격에서만 CVE-2021-1732 익스플로잇을 사용해왔다. 이를 바탕으로 공격자들은 여러 달 동안 제로데이 탐지 없이 악용했으며, 마이크로소프트에서 버그를 패치할 때까지 공격에 악용하고 여전히 사용 중이다.
또한 공격자들은이 공격 진행 중 특정 조건에서 패치되지 않은 장치의 취약점을 악용하기 위해 보안 솔루션의 탐지를 피하도록 설계된 기술을 사용한 것으로 드러났다.
마이크로소프트는 이달 초 엔드포인트용 마이크로소프트 디펜더 구독자들과 비공개 보안 권고를 통해 해당 정보를 공유했다.
◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장
-날짜: 2021년 3월 9일(화) / 온라인 개최
-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자
-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★