2022-10-06 20:20 (목)
MS, 또 다른 윈도우 프린트 스풀러 제로데이 취약점 확인
상태바
MS, 또 다른 윈도우 프린트 스풀러 제로데이 취약점 확인
  • hsk 기자
  • 승인 2021.08.12 18:10
이 기사를 공유합니다

마이크로소프트가 로컬 공격자가 컴퓨터에서 시스템 권한을 얻을 수 있는, 또 다른 제로데이 윈도우 인쇄 스풀러 취약점 CVE-2021-36958에 대한 권고를 발표했다.

이 취약점은 윈도우 인쇄 스풀러와 드라이버, 윈도우 Point 및 Print(지정 및 인쇄) 기능에 대한 구성 설정을 남용하는 PrintNightmare로 알려진 버그 클래스의 일부이다.

마이크로소프트는 다양한 PrintNightmare 취약점을 수정하기 위해 7, 8월에 보안 업데이트를 출시했다. 그러나 모 보안 연구원이 공개한 취약점을 통해 위협 행위자는 원격 인쇄 서버에 연결하기만 하면 시스템 권한을 빠르게 얻을 수 있는 것으로 나타났다.

이 취약점은 CopyFile 레지스트리 지시문을 사용해 프린터에 연결할 때 프린터 드라이버와 함께 클라이언트에 명령 프롬프트를 여는 DLL 파일을 복사한다.

마이크로소프트의 최근 보안 업데이트는 관리자 권한이 필요하도록 새 프린터 드라이버 설치 절차를 변경했지만, 해당 드라이버가 이미 설치된 경우에는 프린터에 연결하기 위해 관리자 권한을 입력할 필요가 없다.

또한 드라이버가 클라이언트에 있어 설치할 필요가 없는 경우, 원격 프린터에 연결하면 관리자가 아닌 사용자에 대해 CopyFile 지시문이 실행된다. 이 취약점으로 인해 Delpy의 DLL이 클라이언트에 복사 및 실행되어 시스템 레벨의 명령 프롬프트를 열 수 있다.

12일 마이크로소프트는 CVE-2021-36958로 추적되는 새로운 윈도우 프린트 스풀러 취약점에 대한 권고를 발표했다.

권고문은 “윈도우 프린트 스풀러 서비스가 권한을 가진 파일 작업을 부적절하게 수행할 때 원격 코드 실행 취약점이 발생한다. 취약점 악용에 성공한 공격자는 시스템 권한으로 임의 코드 실행이 가능하다. 이후 프로그램을 설치하거나 데이터 확인, 변경, 삭제가 가능하며, 전체 사용자 권한으로 새 계정을 만들 수도 있다. 해당 취약점 해결 방법은 인쇄 스풀러 서비스를 중지하고 비활성화하는 것이다.”라고 설명한다.

아직 이 보안 결함에 대한 패치 업데이트가 출시되지 않았지만 마이크로소프트는 인쇄 스풀러 비활성화를 통해 공격 벡터를 제거할 수 있다고 설명한다.

인쇄 스풀러를 비활성화 하면 장치에서 인쇄할 수 없으므로, 더 나은 방법은 장치가 인증된 서버에서 프린터를 설치하도록 허용하는 것이다. 이는 ‘패키지 지정 및 인쇄 – 승인된 서버’ 그룹 정책을 사용하여 허용할 수 있고, 관리자가 아닌 사용자는 인쇄 서버가 승인된 목록에 없는 경우 지정 및 인쇄 기능을 사용해 프린트 드라이버를 설치할 수 없다.

이 정책을 활성화하려면 그룹 정책 편집기(gpedit.msc)를 시작하고 사용자 구성 > 관리 템플릿 > 제어판 > 프린터 > 패키지 지정 및 인쇄 – 승인된 서버로 이동한다. 정책을 전환할 때 인쇄 서버로 사용하도록 허용할 목록을 입력한 다음 확인을 눌러 활성화한다. 네트워크에 인쇄 서버가 없는 경우, 가짜 서버 이름을 입력하여 기능을 활성화할 수 있다.

이 그룹 정책을 사용하면 CVE-2021-36958 익스플로잇에 대한 최상의 보호가 가능하지만, 공격자가 악성 드라이버가 있는 인증된 인쇄 서버를 탈취하는 것까지는 막을 수 없다.

★정보보안 대표 미디어 데일리시큐!★