2024-03-29 03:30 (금)
윈도우 제로데이 취약점 2개 악용하는 타깃 공격 경고
상태바
윈도우 제로데이 취약점 2개 악용하는 타깃 공격 경고
  • hsk 기자
  • 승인 2020.03.24 17:09
이 기사를 공유합니다

모든 윈도우 버전에 영향…원격 코드 실행 취약점

마이크로소프트가 윈도우 어도비 Type Manager 라이브러리에 해커가 악용할 수 있는 2개 제로데이 원격 코드 실행 취약점이 존재하고, 이들은 모든 윈도우 버전에 영향을 미친다고 경고했다.

이 취약점은 윈도우 PostScript Type 1 폰트를 렌더링하는데 사용하는 라이브러리인 어도비 Type Manager에 존재한다.

마이크로소프트 측은 “마이크로소프트는 어도비 Type Manager 라이브러리의 패치되지 않은 취약점을 활용할 수 있는 제한된 타깃 공격에 대해 인지하고 있다. 보안 업데이트 배포 전까지 사용자들의 위험을 줄이기 위해 몇 가지 지침을 제공한다.”고 말했다.

마이크로소프트는 여러가지 공격 시나리오를 제시했고, 공격자는 사용자가 특수 제작된 문서를 열거나 윈도우 미리보기 창에서 보도록 속일 수 있다.

좋은 소식은 두 RCE 결함을 악용하는 in the wild에서의 타깃 공격이 제한적이라는 것이다. 마이크로소프트는 4월 14일 화요일에 예정된 패치를 통해 해당 취약점을 해결할 계획이라고 밝혔다.

또한 지원되는 버전의 윈도우 10을 실행하는 시스템에 대한 성공적인 공격은 제한된 권한과 기능으로 AppContainer 샌드박스 컨텍스트 내에서만 코드를 실행할 수 있다고 설명했다.

마이크로소프트는 윈도우 탐색기에서 미리보기 창 및 세부정보 창을 사용하지 않도록 설정하여 제로데이 결함을 모두 악용할 위험을 완화할 것을 제안했다. “윈도우 탐색기에서 미리보기 및 세부정보 창을 비활성화하면 윈도우 탐색기에서 OTF 글꼴이 자동으로 표시되지 않는다. 이렇게 하면 탐색기에서 악성 파일을 볼 수 없지만, 인증된 로컬 사용자가 특수하게 조작된 프로그램을 실행하여 취약점을 악용하는 것을 막지는 못한다”고 설명했다.

또 다른 완화 방법은 WebClient 서비스를 비활성화하는 것으로 구성되는데, WebDAV(Web Distributed Authoring and Versioning) 클라이언트 서비스를 통해 가장 가능성이 높은 원격 공격 경로를 차단할 수 있다.

이 대안을 적용한 후에도 취약점을 성공적으로 악용한 원격 공격자는 시스템이 대상 사용자의 컴퓨터나 LAN에 있는 프로그램을 실행할 수 있지만 임의 프로그램을 열기 전에 확인 메시지가 표시된다.

또 다른 해결 방법은 실제 라이브러리 ‘ATMFD.DLL.’의 이름을 바꾸는 것이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★