마이크로소프트가 공격자가 윈도우 장치 관리자 권한을 빠르게 획득할 수 있도록 하는 마지막 남은 PrintNightmare 제로데이 취약점을 수정하는 보안 업데이트를 공개했다.
6월에 PrintNightmare로 명명된 CVE-2021-34527 윈도우 인쇄 스풀러 취약점이 공개되었다. 이 결함은 윈도우 Point/Print 기능을 악용해 공격자가 원격 코드를 실행하고 로컬 시스템 권한을 얻을 수 있도록 한다.
마이크로소프트는 이전에 여러 PrintNightmare 취약점을 수정하기 위해 두가지 보안 업데이트를 출시했지만, Benjamin Delpy라는 연구원이 공격자가 원격 인쇄 서버에 연결하기만 하면 시스템 권한을 빠르게 얻을 수 있는 또 다른 취약점을 공개했다.
또한 Vice Society, Magniber, Conti와 같은 랜섬웨어 조직들이 감염된 장치에서 높은 권한을 획득하기 위해 버그를 활용하기 시작했다.
남아있는 PrintNightmare 취약점은 CVE-2021-36958로 추적되며, 2020년 12월 Accenture Security의 Victor Meta가 마이크로소프트에 발견해 보고한 것이다.
9월 14일 있었던 패치 튜스데이에서는 나머지 PrintNightmare 취약점을 수정하는 CVE-2021-36958용 보안 업데이트를 공개했다.
이 새로운 보안 업데이트에 대해 익스플로잇을 테스트한 Delpy는 버그가 수정되었음을 확인했다. 또한 마이크로소프트가 기본적으로 CopyFiles 기능을 비활성화했고, 관리자가 활성화할 수 있도록 허용하는 정책을 추가했다고 언급했다.
해당 정책은 Windows 레지스트리에서 HKLM\Software\Policies\Microsoft\WindowsNT\Printers 키 아래에 CopyFilesPolicy라는 값을 추가하여 구성할 수 있다. '1'로 설정하면 CopyFiles가 다시 활성화된다.
그러나 Delpy는 이 정책이 활성화된 경우에도 마이크로소프트의 C:\Windows\System32\mscms.dll 파일만 이 기능과 함께 사용할 수 있다고 말한다.
또한 해당 변경 사항은 윈도우 기본 동작에 영향을 미치므로, 인쇄 시 어떤 문제가 발생할지 명확하지 않은 상태이다.
이번 업데이트는 PrintNightmare 취약점 외에 MSHTML 제로데이도 수정하므로, 사용자들에게 가능한 빠른 보안 업데이트가 권고된다.
[AIS 2021] 국내 최대 인공지능·머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!(보안교육 7시간 이수)
-인공지능·머신러닝 적용 정보보호 기술과 위협 정보 공유의 장
-2021년 9월 16일 온라인 개최
-공공·금융·기업 정보보호 관계자라면 누구나 무료참석
-보안교육7시간 이수증 발급
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
