2019-11-13 18:58 (수)
마이크로소프트 멀웨어 방지 엔진에 치명적 보안취약점 존재
상태바
마이크로소프트 멀웨어 방지 엔진에 치명적 보안취약점 존재
  • 페소아 기자
  • 승인 2017.05.11 09:04
이 기사를 공유합니다

MsMpEng 취약점, 사용자에게 메일 보내는 것만으로도 공격 가능…MS, 패치 공개

MS-100.jpg
이미지 출처. MS
마이크로소프트는 불과 며칠 전에 발견되었던 심각한 제로데이 취약점에 대한 긴급 패치를 발표했다.

지난 월요일 마이크로소프트사는 윈도우 운영체제에서 발생하는 원격코드실행 취약점인 CVE-2017-0290에 대한 보안권고문을 발표했다.

이 취약점은 주말 동안 구글 Project Zero팀의 Tavis Ormandy와 Natalie Silvanovich의 트위터를 통해 공개되었다. Ormandy는 트위터를 통해 Windows Defender 및 기타 보안제품에서 사용되는 마이크로소프트 멀웨어 방지엔진(MsMpEng)에서 제로데이 취약점이 있음을 확인했다고 공개했다.

그는 "최근 메모리에서 최악의 윈도우즈 원격 코드 실행 취약점이 될 수 있는 "crazy bad" 버그를 발견했다"라고 밝히면서, 마이크로소프트에 개인적으로 보고를 한 후 스크립팅 엔진 메모리 커럽션 취약점에 대한 수정할 시간을 주기 위해 자세한 내용은 공개하지 않았다.

마이크로소프트 멀웨어 방지 엔진이 특수하게 조작된 파일을 검사할 때 공격자는 취약점을 악용해 원격으로 코드를 실행할 수 있다. 침입자가 공격에 성공할 경우 LocalSystem 계정으로 침입하여 시스템 전체를 획득할 수 있다. 공격자는 프로그램을 설치하거나 삭제, 정보 도용 및 완전한 사용자 권한으로 새로운 계정을 만들고 추가 악성코드를 다운로드할 수 있는 완전한 권한을 얻는다.

프로젝트 제로(Project Zero)팀은 메시지를 열거나 첨부파일을 다운로드할 필요없이 사용자에게 전자메일을 보내는 것만으로도 취약점을 이용가능하다고 설명했다. 악의적인 웹사이트 방문이나 인스턴스 메세지를 통한 공격 역시 가능하다.

Oramndy에 따르면 기본 시스템에서 작동하는 것 뿐만 아니라, "wormable"이기도 하다. 즉 해당 익스플로잇을 사용하는 멀웨어는 자신을 복제하고 타깃 시스템을 넘어 확산시킬 수 있다.

MsMpEng 취약점은 서비스의 권한, 접근성 및 편재성으로 인해 Windows에서 가장 심각한 부분 중 하나이다. 영향을 받는 멀웨어 방지 소프트웨어에 실시간 보호기능이 설정되어 있으면 마이크로소프트 멀웨어 방지 엔진이 파일을 자동으로 검색하여 특수하게 조작된 파일을 검사하게 된다. 공격자는 이때 취약점을 악용할 수 있다. 실시간 검사가 활성화되어 있지 않다면 침입자는 취약점이 악용되기 위해 예약 검사가 실행될 때까지 기다려야 한다.

이에대해 마이크로소프트는 Project Zero팀에 CFG(Control Flow Guard) 보안 기능을 사용하면 기능이 활성화된 일부 최신 플랫폼에서 보안 위협이 줄어들 수 있다고 설명했다.

마이크로소프트는 아직까지 이 문제가 악용되었다는 보고는 받지 못했다고 밝혔다. 시스템 관리자는 엔진 업데이트를 따로할 필요는 없으나 빠른 업데이트를 위해서 수동으로 적용할 수도 있다.

★정보보안 대표 미디어 데일리시큐!★