MS, 윈도우 PrintNightmare 제로데이 취약점…긴급 업데이트
마이크로소프트가 모든 윈도우 버전에 영향을 주는, 인쇄 스풀러 서비스에서 활발히 악용된 PrintNightmare 제로데이 취약점을 수정하는 KB5004945 긴급 보안 업데이트를 발행했다. 하지만 해당 패치는 불완전한 것으로 보이며, 취약점은 여전히 로컬로 악용 가능해 공격자가 시스템 권한을 얻을 수 있다.
공격자는 원격 코드 실행 취약점 CVE-2021-34527을 통해 시스템 권한이 있는 RCE를 통해 영향 받는 서버를 장악할 수 있고, 프로그램 설치, 데이터 보기와 수정 또는 삭제, 전체 사용자 권한을 가진 새 계정 생성이 가능하다.
운영 체제에 긴급 보안 업데이트를 설치하는 방법에 대한 상세 지침은 아래 링크된 지원 문서에서 확인할 수 있다.
– Windows 10, version 21H1 (KB5004945)
– Windows 10, version 20H1 (KB5004945)
– Windows 10, version 2004 (KB5004945)
– Windows 10, version 1909 (KB5004946)
– Windows 10, version 1809 and Windows Server 2019 (KB5004947)
– Windows 10, version 1803 (KB5004949) [Not available yet]
– Windows 10, version 1507 (KB5004950)
– Windows 8.1 and Windows Server 2012 (Monthly Rollup KB5004954 / Security only KB5004958)
– Windows 7 SP1 and Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951)
– Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Security only KB5004959)
마이크로소프트에 따르면 윈도우 10 버전 1607, 윈도우 서버 2016 또는 2012용 보안 업데이트는 곧 출시될 예정이다.
PrintNightmare 취약점에는 시스템 권한으로 명령을 실행하는 공격에 사용될 수 있는 RCE 및 LPE 벡터가 모두 포함된다.
마이크로소프트가 긴급 업데이트를 공개한 후, 보안 연구원 Matthew Hickey는 패치가 LPE 구성 요소가 아닌 RCE만 수정한다는 것을 확인했다. 이는 해당 패치가 불완전하고, 위협 행위자 및 멀웨어가 로컬에서 취약점을 악용하여 시스템 권한을 얻을 수 있다는 것을 의미한다.
마이크로소프트는 고객이 PrintNightmare 취약점을 해결하기 위해 이러한 긴급 보안 업데이트를 즉시 설치하도록 권고한다.
업데이트를 가능한 한 빨리 설치할 수 없는 사용자는 CVE-2021-34527 보안 권고의 FAQ 및 해결 방법 섹션에서 시스템을 보호하는 방법에 대한 정보를 확인해야 한다.
사용 가능한 완화 옵션에는 인쇄 스풀러 서비스를 비활성화하여 로컬 및 원격으로 인쇄 기능을 제거하거나, 그룹 정책을 통해 인바운드 원격 인쇄를 비활성화하여 해당 작업을 차단함으로써 원격 공격 벡터를 제거하는 것이 포함된다.
두번째 경우 마이크로소프트는 시스템이 더 이상 인쇄 서버로 작동하지 않지만 직접 연결된 장치에 대한 로컬 인쇄는 가능하다고 설명한다. CISA 또한 지난 주 PrintNightmare 제로데이에 대해 관리자가 인쇄에 사용되지 않는 서버에서 인쇄 스풀러 서비스를 비활성화 하도록 권장하는 알림을 게시했다.
※위 포스팅이 문제 있을시 삭제 처리하겠습니다.
출처 : https://www.dailysecu.com/news/articleView.html?idxno=126352
이 게시글이 문제가 될 시, 삭제하겠습니다
댓글 없음:
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.