2024-03-29 14:20 (금)
실제 공격에 악용되고 있는 마이크로소프트 제로데이 보안취약점
상태바
실제 공격에 악용되고 있는 마이크로소프트 제로데이 보안취약점
  • 페소아 기자
  • 승인 2021.08.12 17:20
이 기사를 공유합니다

마이크로소프트는 지난 화요일 자사 소프트웨어 제품과 서비스에 영향을 미치는 총 44개의 보안 문제를 해결하기 위해 보안 업데이트를 배포했으며 그중 하나는 실제로 적극적으로 악용되는 제로데이라고 밝혔다.

더해커뉴스에 따르면, 2019년 12월 이후 가장 작은 릴리스인 이번 업데이트는 Windows, .NET Core 및 Visual Studio, Azure, Microsoft Graphics Component, Microsoft Office, Microsoft Scripting Engine, Microsoft Windows 코덱 라이브러리, 원격 데스크톱 클라이언트에서 7개의 치명적인 버그 및 27개의 중요 버그를 제거한다. 이는 8월 5일 Microsoft Edge 브라우저에서 발생한 7가지 보안 결함에 더해 발생한 것이라고 전했다.

패치된 문제 중 가장 중요한 것은 CVE-2021-36948(CVSS 점수: 7.8)로, Windows Update Medic Service(Windows Update 구성 요소의 복원 및 보호를 가능하게 하는 서비스)에 영향을 미치는 권한 상승 결함이다. 마이크로소프트의 위협 인텔리전스 센터가 이 결함을 보고한 것으로 인정받았지만 마이크로소프트는 적극적인 악용 시도에 비추어 이러한 공격이 얼마나 널리 퍼졌는지에 대한 추가 세부 사항이나 정보를 공유하지 않았다.

패치 당시 아래의 두 가지 보안 취약점이 공개적으로 알려져 있었다.

-CVE-2021-36942 (CVSS 점수: 9.8) - Windows LSA 스푸핑 취약점

-CVE-2021-36936 (CVSS 점수: 8.8) - Windows 프린트 스풀러 원격 코드 실행 취약점

LSARPC 인터페이스를 차단하여 CVE-2021-36942로 추적되는 PetitPotam과 같은 NTLM 릴레이 공격으로부터 시스템을 보호하는 수정 사항이 포함되어 있고, Windows 프린트 스풀러 구성 요소의 또다른 원격 코드 실행 결함인 CVE-2021-36936을 해결한다.

마이크로소프트는 CVE-2021-36942에 대한 권고에서 "인증되지 않은 공격자는 LSARPC 인터페이스에서 메소드를 호출하고 NTLM을 사용하는 다른 서버에 대해 인증하도록 도메인 컨트롤러를 강제할 수 있다."고 말하며 "LSARPC 인터페이스를 통해 영향을 받는 API 호출 OpenEncryptedFileRawA 및 OpenEncryptedFileRawW를 차단한다."고 덧붙였다.

CVE-2021-36936은 마이크로소프트가 이번 달에 수정한 프린트 스풀러 서비스의 세 가지 결함 중 하나이다. 다른 두 가지 취약점은 CVE-2021-36947(CVSS 점수: 8.2) 및 CVE-2021-34483(CVSS 점수: 7.8)로 후자는 권한 상승 취약점과 관련이 있다.

또한 마이크로소프트는 CVE-2021-34481(CVSS 점수: 8.8)로 추적되는 인쇄 스풀러 서비스에서 이전에 공개된 원격 코드 실행을 해결하기 위한 보안 업데이트를 내놓았다. 이를 통해 "지정하여 인쇄" 기능의 기본 동작이 변경되어 관리자가 아닌 사용자가 먼저 자신을 관리자로 승격시키지 않고 원격 컴퓨터 또는 서버의 드라이버를 사용하여 신규 및 기존 프린터 드라이버를 설치하거나 업데이트하는 것을 효과적으로 방지할 수 있다.

화요일 패치 업데이트의 일부로 수정된 또 다른 치명적인 결함은 악성 Hyper-V 게스트가 호스트로 ipv6 ping을 보내어 원격에서 트리거할 수 있는 Windwos TCP/IP의 원격 코드 실행 취약점인 CVE-2021-26424(CVSS점수: 9.9)이다. "공격자는 패킷을 처리하기 위해 TCP/IP 프로토콜 스택(tcpip.sys)을 사용하여 특수하게 조작된 TCP/IP 패킷을 호스트로 보낼 수 있다"고 마이크로소프트는 설명한다.

최신 보안 업데이트를 설치하려면 Windows 사용자는 시작>설정>업데이트 및 보안>Windows 업데이트로 이동하거나 Windows 업데이트 확인을 선택하면 된다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★