최근 패치된 윈도우 제로데이, 2020년 중반부터 활발히 악용돼

 

 

Recently fixed Windows zero-day actively exploited since mid-2020

 

마이크로소프트가 2020년 2월 ‘패치 화요일(Patch Tuesday)’을 통해 심각도 높은 윈도우 제로데이 취약점을 패치했다고 밝혔습니다. 해당 취약점은 최소 2020년 여름부터 실제 공격에 악용되어 온 것으로 나타났습니다.

 

활발히 악용되는 이 제로데이 취약점은 'CVE-2021-1732 – 윈도우 Win32k 권한 상승 취약점’으로 등록되었습니다.

 

이 취약점을 악용할 경우 로컬 공격자가 권한을 관리자 수준으로 상승시켜 Win32k.sys 코어 커널 컴포넌트에서 use-after-free 조건을 트리거할 수 있습니다.

 

CVE-2021-1732 취약점은 사용자와의 상호작용이 필요하지 않은 복잡도 낮은 공격에서 기본 사용자 권한으로 악용이 가능합니다.

 

다행히도 공격자가 이 취약점을 성공적으로 악용하기 위해서는 코드 실행 권한이 필요합니다. 하지만 이는 피싱 이메일을 통해 악성 첨부파일을 전달하여 열도록 속이는 방법으로 쉽게 얻어낼 수 있습니다.

 

마이크로소프트는 실제 공격에서 사용되는 공격 벡터 중 하나인지 아직까지 확인하지 않은 상황입니다.

 

2020년 중반부터 실제 공격에 악용돼

 

이 취약점은 12월 29일 DBAPPSecurity의 연구원들이 발견해 마이크로소프트의 보안 대응 센터에 제보했습니다.

 

보고에 따르면 Bitter(T-APT-17) APT 그룹은 해당 제로데이 취약점을 타깃 공격에 활발히 악용하고 있었습니다.

 

Bitter는 최소 2013년부터 중국, 파키스탄, 사우디아라비아를 노린 정보 탈취 및 스파잉 캠페인으로 유명합니다.

 

해당 제로데이는 윈도우 10 및 윈도우 서버 최신 버전에도 영향을 미치지만, 공격자는 윈도우 10 1909 시스템만을 노린 것으로 나타났습니다.

 

Bitter의 타깃 공격에 악용된 이 익스플로잇은 12월 11일 VirusTotal에 공유되었으나, 마이크로소프트의 분석에 따르면 공격자들은 이 제로데이 취약점을 2020년 중반부터 악용 중이었습니다.

 

DBAPPSecurity의 연구원들은 12월에 발견된 실제 공격에 사용 중인 샘플이 2020년 5월 편집되었다는 사실을 발견했습니다.

 

여전히 적극적으로 악용 중인 취약점

 

공격자들은 2021년 2월부터 중동의 기기를 노린 소수의 공격에서만 CVE-2021-1732 익스플로잇만을 사용했습니다.

 

공격자들은 이 제로데이를 여러 달 동안 탐지되지 않고 악용했으며, 마이크로소프트에서 취약점을 패치하기 전까지 몇 주 동안 계속해서 공격에 악용해왔으며, 지금도 여전히 사용하고 있는 것으로 나타났습니다.

 

공격자들은 공격을 진행하던 중 특정 조건에서 패치되지 않은 기기의 취약점을 악용하기 위해 보안 솔루션의 탐지를 피하도록 설계된 기술을 사용한 것으로 드러났습니다.

 

마이크로소프트는 이달 초 엔드포인트용 마이크로소프트 디펜더의 구독자들에게 비공개 보안 권고를 통해 해당 정보를 공유했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/recently-fixed-windows-zero-day-actively-exploited-since-mid-2020/

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1732

https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/