윈도 관리자권한 허용 취약점 10개월째 방치돼

단순한 레지스트리 조작만으로 윈도 PC와 서버의 관리자 권한을 가져올 수 있는 백도어 성격의 보안취약점이 10개월 전에 공개됐지만, 이를 마이크로소프트(MS)에 제보한 컬럼비아 보안연구원은 여태 회신을 받지 못했고 취약점이 패치되지도 않은 것으로 드러났다.

미국 지디넷은 17일(현지시간) 윈도PC의 관리자 권한을 얻어낼 수 있는 단순하면서도 막기 어려운 기법이 2017년 12월 처음으로 자세히 공개됐는데 누구의 주목도 받지 않았다고 보도했다. 언론에 보도된 사례도 없고 악성코드 공격 활동에 쓰이지도 않았다는 설명이다. 컬럼비아 회사 CSL 소속 보안연구원이 이를 발견한 주인공이었다.

10개월전 발견된 윈도 관리자 권한 허용 취약점은 윈도 사용자 계정 파라미터 중 '상대식별자(RID)'라 알려진 변수를 노린 것이다. RID는 계정의 보안식별자(SID) 끝부분에 덧붙는 코드로 해당 사용자의 권한을 결정하는 사용자그룹을 나타낸다. 여러 RID가 쓰이는데 가장 흔히 쓰이는 값은 임시 사용자(guest) 계정에 해당하는 '501'과 관리자 계정에 해당하는 '500'이다.

CSL의 세바스찬 카스트로 연구원은 CSL의 페드로 가르시아 최고경영자(CEO)와 함께, 각 윈도 사용자 계정의 정보를 허술하게 저장하고 있는 레지스트리 키를 찾아냈다. 카스트로 연구원은 이 키에 저장된 특정 계정의 RID를 변경해 다른 권한을 가진 사용자그룹에 속하는 RID로 만들 수 있었다.

해당 컴퓨터 패스워드가 인터넷에 노출돼 있다면 해커는 원격으로 이 취약점을 통해 공격할 수 있다.

패스워드가 노출돼 있지 않더라도 사용자 계정이 무차별대입 공격에 당할 만큼 보안 강도가 떨어지거나, 다른 악성코드에 장악돼 있을 경우, 해커가 그 권한이 낮은 계정을 발판 삼아 관리자권한을 얻어낼 가능성이 있다. 해당 윈도PC의 전체 시스템에 접근 가능한 영구적인 백도어가 열리는 셈이다.

레지스트리 키는 부팅에 영향을 받지 않고 지속되는데다 계정의 RID 변경사항은 수정되지 않는 한 유지된다는 점에서 공격자에게 쉽게 악용될 수 있다. 이 취약점에 윈도XP부터 윈도10까지 그리고 윈도서버2003부터 윈도서버2016까지 모두 영향을 받는다.

보도에 따르면 카스트로 연구원은 지난주 "이 공격은 대상에게 아무런 경고 신호를 띄우지 않는 운영체제(OS) 자원을 이용해 수행될 수 있기 때문에 취약점이 악용될 때 알아차리기가 쉽지 않다"며 "어딜 살펴야 할지 알기만 하면 포렌식 활동을 수행할 땐 파악하기 쉬울 거라 생각한다"고 말했다. 그는 "(윈도) 레지스트리를 들여다보고 보안계정관리자(SAM)의 불일치 여부를 확인하는 것으로 컴퓨터가 RID 가로채기 피해를 입었는지 여부를 알아낼 수 있다"고 덧붙였다.

만일 임시 사용자 계정의 SID 끝에 붙은 RID가 '500'이라면, 그 계정이 관리자권한을 갖고 있으며 누군가 해당 레지스트리 키를 조작했다는 확실한 단서다.

CSL 측은 테스트용으로 이 공격을 자동화한 메타스플로잇 프레임워크용 모듈을 만들어 배포했다. 카스트로 연구원은 "우리는 모듈이 개발되자마자 MS에 연락했지만 그들로부터 아무런 응답을 받지 못했다"며 "패치되지도 않았다"고 말했다. 그는 자신이 발견한 윈도 권한상승 취약점 악용 기법을 Sec-T, RomHack, DerbyCon 등 여러 사이버보안 컨퍼런스에서 발표했다.