치명적인 윈도우 RCE 취약점의 PoC 익스플로잇 유출돼

 

 

Researchers Leak PoC Exploit for a Critical Windows RCE Vulnerability

 

이달 초 마이크로소프트에서 패치한 윈도우 인쇄 스풀러(Windows Print Spooler)에 존재하는 원격 코드 실행 취약점과 관련된 PoC 익스플로잇이 온라인에 잠시 동안 게시된 것으로 나타났습니다.

 

CVE-2021-1675로 등록된 이 보안 취약점은 원격 공격자가 취약한 시스템을 제어할 수 있는 전체 권한을 얻는데 악용될 수 있습니다.

 

인쇄 스풀러는 적절한 프린터 드라이브를 로드하고, 인쇄 작업을 예약하는 등 윈도우 내 인쇄 프로세스를 관리합니다.

 

인쇄 스풀러의 취약점은 공격 범위가 넓을 뿐만 아니라 타사 바이너리를 가장 높은 권한 수준으로 동적 로드할 수 있기 때문에 문제가 됩니다.

 

Windows Maker는 2021년 6월 8일 ‘패치 화요일’ 업데이트를 통해 이를 수정했습니다. 하지만 약 2주 후, 마이크로소프트는 해당 취약점의 영향을 권한 상승에서 원격 코드 실행으로 조정하고 심각도 수준을 ‘중요’에서 ‘치명적’으로 변경했습니다.

 

마이크로소프트는 권고를 통해 아래와 같이 밝혔습니다.

 

“공격자는 해당 취약점을 악용하기 위해 타깃 시스템에 로컬(예: 키보드, 콘솔)로 접근하거나, 원격(예: SSH)으로 접근하거나, 다른 사람의 사용자 인터랙션을 이용(예: 정식 사용자가 악성 문서를 열도록 속임)할 수 있습니다.”

 

이번 주 초, 중국의 보안 회사인 QiAnXin이 해당 취약점을 활용하기 위한 방법을 발견했다고 밝히며 원격 코드 실행을 달성하기 위한 취약점 악용을 성공적으로 시연했다고 발표했습니다.

 

연구원들은 자세한 기술적 정보를 공유하지는 않았지만, 홍콩의 사이버 보안 회사인 Sangfor에서는 완전히 동작하는 PoC 코드와 함께 해당 취약점에 대한 심층 분석 내용을 GitHub에 게시했습니다. 그리고 몇 시간 후 해당 PoC는 제거되었습니다.

 

Sangfor는 이 취약점을 “PrintNightmare”라 명명했습니다. 또한 Sangfor의 수석 보안 연구원인 Zhiniang Peng은 트위터를 통해 아래와 같이 밝혔습니다.

 

“우리는 PrintNightmare의 PoC를 삭제했습니다. 이 취약점을 완화하기 위해서는 윈도우를 최신 버전으로 업데이트 하거나 스풀러 서비스를 비활성화 하시기 바랍니다.”

 

연구 결과는 다음 달 진행될 Black Hat USA 컨퍼런스에서 발표될 예정입니다.

 

 

 

 

출처:

https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html