마이크로소프트는 2024년 마지막 패치 화요일 업데이트를 통해 총 72개의 보안 취약점을 수정했습니다. 이 중 하나는 이미 실제 공격에 활용된 것으로 확인됐습니다.
이번에 수정된 취약점 중 17개는 ‘심각(Critical)’ 등급, 54개는 ‘중요(Important)’ 등급, 1개는 ‘보통(Moderate)’ 등급으로 평가됐습니다. 원격 코드 실행 취약점은 총 31개, 권한 상승 취약점은 27개가 포함됐습니다.
추가적으로, 마이크로소프트는 지난달 보안 업데이트 이후 크로미움 기반 엣지 브라우저에서 13개의 취약점을 해결했습니다. 포르트라(Fortra) 보고서에 따르면 마이크로소프트는 2024년에만 총 1,088개의 보안 취약점을 수정했습니다.
악용된 CLFS 취약점 CVE-2024-49138
마이크로소프트가 실제 공격에 사용된 것으로 확인한 취약점은 Windows 공용 로그 파일 시스템(CLFS) 드라이버의 권한 상승 취약점인 CVE-2024-49138(CVSS 점수: 7.8)입니다.
“이 취약점을 성공적으로 악용할 경우 공격자는 시스템 권한을 획득할 수 있습니다,”라고 마이크로소프트는 발표에서 밝혔습니다. 이 취약점은 사이버 보안 기업 크라우드스트라이크(CrowdStrike)가 발견하고 보고했습니다.
CLFS 취약점은 과거에도 랜섬웨어 운영자들이 즐겨 활용한 경향이 있습니다. 테너블(Tenable)의 시니어 연구 엔지니어 사트남 나라(Satnam Narang)는 “랜섬웨어 운영자들은 권한 상승 취약점을 통해 네트워크 내부로 이동하여 데이터를 암호화하고 피해자를 협박할 수 있습니다”라고 설명했습니다.
보안 강화 조치
마이크로소프트는 이러한 공격 경로를 차단하기 위해 CLFS 로그 파일을 처리할 때 새로운 검증 단계를 추가하는 작업을 진행 중입니다. “로그 파일 데이터 구조의 개별 값을 검증하는 대신, CLFS 드라이버 자체가 아닌 다른 요소에 의해 로그 파일이 수정되었는지를 탐지할 수 있도록 해시 기반 메시지 인증 코드(HMAC)를 로그 파일 끝에 추가했습니다,”라고 회사 측은 밝혔습니다.
미국 사이버 보안 및 인프라 보안국(CISA)도 해당 취약점을 ‘악용된 취약점 목록'(KEV)에 추가하고, 연방 시민 행정부 기관(FCEB)에 오는 2024년 12월 31일까지 필수 보안 조치를 적용하도록 지시했습니다.
최고 위험 등급의 LDAP 취약점
이번 패치 중 가장 높은 위험도를 가진 취약점은 Windows 경량 디렉터리 액세스 프로토콜(LDAP)의 원격 코드 실행 취약점(CVE-2024-49112, CVSS 점수: 9.8)입니다.
마이크로소프트는 “인증되지 않은 공격자가 특수하게 조작된 LDAP 호출을 통해 임의 코드를 실행할 수 있다”고 경고했습니다. 이와 함께 Windows Hyper-V(CVE-2024-49117, CVSS 점수: 8.8), 원격 데스크톱 클라이언트(CVE-2024-49105, CVSS 점수: 8.4), 마이크로소프트 Muzic(CVE-2024-49063, CVSS 점수: 8.4) 등 주요 원격 코드 실행 취약점도 수정됐습니다.
제로데이 취약점 비공식 패치
또한, 0patch는 윈도우 제로데이 취약점에 대한 비공식 패치를 발표했습니다. 이 취약점은 공격자가 사용자가 악성 파일을 탐색기에서 보는 것만으로도 NT LAN 관리자(NTLM) 자격 증명을 획득할 수 있도록 합니다. 공격자는 USB 드라이브나 다운로드 폴더를 통해 사용자 권한을 탈취할 수 있습니다.
이와 함께, 윈도우 테마 관련 취약점과 Windows Server 2012 및 Server 2012 R2에서 발견된 알려지지 않은 취약점에 대한 비공식 패치도 배포되었습니다. 이 취약점은 특정 파일 유형에서 ‘웹 마크(Mark-of-the-Web, MotW)’ 보호를 우회할 수 있는 문제로, 약 2년 전부터 존재해 온 것으로 추정됩니다.