Researcher Discloses New Zero-Day Affecting All Versions of Windows

한 보안 연구원이 마이크로소프트 Windows의 모든 버전(서버 에디션 포함)에 영향을 미치는 패치 되지 않은 제로데이 취약점을 공개했습니다. 연구원은 120일의 기한 이내에 마이크로소프트가 이 취약점을 패치하지 못해 공개했다고 밝혔습니다.

트렌드 마이크로의 Lucas Leong이 발견한 이 제로데이 취약점은 마이크로소프트 Jet Database Engine에 존재하며, 공격자가 모든 취약한 윈도우 컴퓨터에서 원격으로 악성 코드를 실행할 수 있도록 허용합니다.

마이크로소프트의 JET 데이터베이스 엔진(Joint Engine Technology)는 Access와 비쥬얼 베이직을 포함한 마이크로소프트 제품들 다수에 통합 된 데이터베이스 엔진입니다.

ZDI측에서 발표한 권고에 따르면, 이 취약점은 Jet 데이터베이스 엔진의 인덱스 관리에서 발생하는 문제 때문에 발생합니다. 성공적으로 악용 될 경우 out-of-bound 메모리 쓰기가 발생해 원격 코드 실행으로 이어질 수 있습니다.

이 취약점을 악용하여 타겟 컴퓨터에서 원격으로 악성 코드를 실행하기 위해 공격자는 타겟 사용자가 특별히 제작한 JET 데이터베이스 파일을 오픈하도록 속여야 합니다.

“데이터베이스 파일 내 특별히 제작 된 데이터로 인해 할당 된 버퍼의 끝을 지나서 쓸 수 있게 됩니다. 공격자는 이 취약점을 악용해 현재 프로세스의 컨텍스트에서 코드를 실행할 수 있습니다.”

“다양한 응용프로그램에서 이 데이터페이스 포맷을 사용합니다. 이를 이용하는 공격자는 현재 프로세스 수준에서 코드를 실행할 수 있게 됩니다.”

ZDI의 연구원들에 따르면, 이 취약점은 Windows 10, 8.1, 7, Windows Server Edition 2008~2016을 포함한 모든 지원되는 버전에 존재합니다.

이들은 지난 5월 8일 이 취약점에 대해 마이크로소프트에 알렸으며, 마이크로소프트 측은 5월 14일 버그를 확인했지만 120일(4개월) 이내에 패치하지 않아 취약점의 세부내용을 공개했다고 밝혔습니다.

트렌드마이크로는 이 취약점의 PoC 익스플로잇 코드 또한 GitHub 페이지에 공개했습니다.

마이크로소프트는 이 취약점의 패치를 제작 중이며, 9월 정기 업데이트에 포함 되지 않았기 때문에 10월 정기 패치에 포함 될 것으로 추측 됩니다.

트렌드마이크로는 마이크로소프트가 패치를 발표하기 전 까지 사용자들에게 “응용 프로그램의 상호작용을 신뢰할 수 있는 파일만 가능하도록 제한”하기를 권장했습니다.

http://blog.alyac.co.kr/1907?category=750247