마이크로소프트, 긴급 업데이트로 원격 코드 실행 취약점 2건 수정

Microsoft released out-of-band Windows fixes for 2 RCE issues

 

마이크로소프트가 마이크로소프트 코덱 라이브러리와 비주얼 스튜디오 코드(Visual Studio Code)에 영향을 미치는 원격 코드 실행(RCE) 취약점 2개를 수정하는 긴급 보안 업데이트 2건을 공개했습니다.

 

이 두 취약점은 CVE-2020-17022, CVE-2020-17023으로 등록되었으며 심각도 ‘중요함’으로 분류되었습니다.

 

CVE-2020-17022는 마이크로소프트 윈도우 코덱 라이브러리가 메모리 내 오브젝트를 처리하는 방식에 존재하는 원격 코드 실행 취약점입니다. 공격자는 취약점을 악용하여 임의 코드를 실행하는 것이 가능합니다.

 

“취약점을 악용하려면 특수 제작된 이미지 파일을 처리하는 프로그램이 필요합니다.”

 

“업데이트는 마이크로소프트 윈도우 코덱 라이브러리가 메모리 내 오브젝트를 처리하는 방식을 수정하여 취약점을 패치합니다.”

 

CVE-2020-17022 취약점은 윈도우 10 버전 1709 및 이후 버전 및 취약한 라이브러리 버전을 사용하는 모든 기기에 영향을 미칩니다.

 

윈도우 10 기기의 디폴트 구성을 유지할 경우 이 취약점의 영향을 받지 않습니다. “마이크로소프트 스토어에서 HEVC 또는 ‘기기 제조사의 HEVC’ 미디어 코덱을 옵션으로 설치한 고객”들만 이에 취약할 수 있는 것으로 나타났습니다.

 

CVE-2020-17022 취약점은 FireEye의 Dhanesh Kizhakkina가 제보한 것으로 전해졌습니다.

 

CVE-2020-17023은 원격 코드 실행 취약점으로 비주얼 스튜디오 코드에 존재합니다. 공격자는 사용자가 악성 ‘package.json’ 파일을 열도록 속여 이 취약점을 유발시킬 수 있습니다. 이후 현재 사용자의 콘텍스트에서 임의 코드를 실행하는 것이 가능해집니다.

 

“현재 로그인된 사용자가 관리자 권한을 가지고 있을 경우, 공격자는 취약한 시스템을 제어할 수 있게 됩니다. 공격자는 프로그램을 설치하고, 데이터를 열람/변경/삭제 할 수 있으며, 전체 권한을 가진 새로운 권한을 생성하는 것도 가능합니다.”

 

“공격자가 이 취약점을 악용하기 위해서는 타깃이 저장소를 복제해 비주얼 스튜디오 코드에서 열도록 유도해야 합니다. 타깃이 악성 ‘package.json’을 오픈할 때 공격자가 지정한 코드가 실행됩니다. 이 업데이트는 Visual Studio Code가 JSON 파일을 처리하는 방식을 수정하여 취약점을 해결합니다.”

 

마이크로소프트는 패치없이 이 두 취약점을 완화할 수 있는 방법은 따로 공개하지 않았습니다.

 

또한 이 두 취약점이 아직까지 실제 공격에 사용되지 않고 있는 것으로 보인다고 밝혔습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/109665/security/microsoft-windows-rce.html

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023