Actively Exploited Windows Font Parsing Bugs Get Temporary Fix
마이크로소프트가 지원되는 모든 버전의 윈도우의 폰트 파싱 컴포넌트에 존재하는 치명적인 취약점 2개에 대한 패치를 준비하는 동안, 사용자는 악용을 예방할 수 있는 마이크로패치 형태로 제공되는 임시 패치를 적용할 수 있게 됐습니다.
이 두 결함은 마이크로소프트가 관리하는 어도비의 Type Manager 라이브러리에 영향을 미치며 어도비 Type 1 PostScript와 OpenType 폰트를 처리하는 ATMFD.DLL 폰트 드라이버에 존재합니다.
윈도우 10 이전 시스템에서 이를 악용할 경우 상승된 권한으로 원격 코드 실행이 가능해집니다. 마이크로소프트는 현재 여러 공격자들이 구 버전 OS를 노리는 타깃 공격에 이를 악용 중인 것을 파악했다고 밝혔습니다.
원격 공격자 방어 가능
악용 위험을 완화하는 마이크로코드는 마이크로소프트의 ESU(Extended Security Updates) 혜택을 받지 않는 윈도우 7 64비트 및 윈도우 서버 2008 R2에서 사용이 가능합니다. 이는 0Patch 플랫폼을 통해 자동으로 전달되며 재부팅 하지 않아도 적용됩니다.
따라서 현재로써는 마이크로소프트의 지원을 가장 덜 받는 OS만이 해당 폰트 파싱 버그를 수정하는 임시 패치를 받을 수 있다는 것입니다.
윈도우 10 v1709에서는 폰트 파싱이 격리된 공간에서 발생하기 때문에 악용이 어렵습니다. 하지만 이전 버전에서는 커널에서 일어나기 때문에 가장 높은 권한을 가진 공격자가 코드를 실행할 수 있는 기회를 얻을 수 있게 됩니다.
0Patch 수정 프로그램은 윈도우 7 및 윈도우 서버 2008 R2(ESU 적용), 윈도우 8.1, 윈도우 서버 2012 32비트 및 64비트 버전에서 사용이 가능합니다.
주의할 점은, 이 마이크로패치는 해당 취약점을 악용하는 원격 공격자로부터 시스템을 보호할 수 있다는 것입니다.
로컬 공격자가 커널로의 시스템 호출을 발생시키는 코드를 작성할 경우 0Patch의 패치를 우회할 수 있습니다.
나타나는 효과
0Patch 운영사인 Acros Security의 CEO Mitja Kolsek은 지난 목요일 블로그 포스트를 통해 해당 마이크로패치의 코드 전체를 제공하며 작동 방식을 설명했습니다.
“이 마이크로패치를 사용하면, 폰트 관련 작업을 위해 윈도우 GDI를 사용하는 모든 애플리케이션은 잘못 렌더링되어 로드가 불가능한 어도비 Type 1 PostScript 폰트를 모두 찾을 것입니다.”
이 임시 패치를 적용한 후 윈도우 탐색기는 더 이상 .PFM과 .PFB 폰트 파일의 미리보기를 지원하지 않을 것입니다. 미리보기 창, 썸네일, 세부 정보 창에서 문자는 렌더링되지 않을 것입니다.
취약한 컴포넌트를 통해 파싱되지 않는 다른 폰트 타입은 아무런 영향을 받지 않습니다.
마이크로소프트는 이 문제를 완화시킬 수 있는 3가지 대안을 제시했습니다. 각각의 방법 모두 장단점이 있습니다.
대안 |
적용 가능성 |
윈도우 탐색기의 미리보기 창, 세부정보 창 비활성화 |
모든 시스템에 적용 가능하지만 취약한 폰트 클래스를 사용하는 문서를 오픈할 경우는 해결이 불가능함 |
WebClient 서비스 비활성화 |
모든 시스템에 적용 가능하지만 취약한 폰트 클래스를 사용하는 문서를 오픈할 경우는 해결이 불가능함 |
ATMFD.DLL 이름 변경 |
윈도우 10 이전버전에서만 동작하지만 문제를 완전히 해결할 수 있음 드문 경우 사용성 문제가 발생할 수 있음 |
출처 :
https://blog.0patch.com/2020/03/micropatching-unknown-0days-in-windows.html
해커들, DrayTek 디바이스 중의 제로데이 취약점을 악용하여 기업들 공격 (0) | 2020.03.30 |
---|---|
‘코로나바이러스에 노출되었다’며 악성 코드 배포하는 피싱 공격 성행 (0) | 2020.03.30 |
코로나 바이러스를 악용하는 구글 플레이 스토어의 안드로이드 앱들 주의 (0) | 2020.03.27 |
랜섬웨어 패밀리 3개, 훔친 데이터를 공개하기 위한 사이트 잇따라 생성해 (0) | 2020.03.26 |
윈도우10 누적 업데이트 KB4541335 공개 (0) | 2020.03.26 |
댓글 영역