마이크로소프트는 모든 윈도우에 영향을 미치는 #PrintNightmare 제로데이 취약점을 해결하기 위해 긴급 보안 업데이트(KB5004945)를 발표했습니다. 하지만 업데이트에도 불구하고 공격자는 여전히 이 취약점을 통해 로컬로 공격해 시스템 권한을 얻을 수 있습니다.
#PrintNightmare(CVE-2021-34527) 취약점을 사용하면 공격자는 프린트 스풀러 서비스를 악용해 시스템 권한으로 원격 코드를 실행(RCE)하고 다른 서버를 장악할 수 있습니다. 이 취약점을 이용해 공격자는 프로그램 설치, 데이터 읽기·쓰기·삭제, 모든 권한을 가진 사용자 계정 생성 등이 가능합니다.
윈도우 보안 업데이트 설치 지침은 아래 링크된 문서에서 확인할 수 있습니다.
Windows 10, version 21H1 (KB5004945)
Windows 10, version 20H1 (KB5004945)
Windows 10, version 2004 (KB5004945)
Windows 10, version 1909 (KB5004946)
Windows 10, version 1809 and Windows Server 2019 (KB5004947)
Windows 10, version 1803 (KB5004949)
Windows 10, version 1507 (KB5004950)
Windows 8.1 and Windows Server 2012 (Monthly Rollup KB5004954 / Security only KB5004958)
Windows 7 SP1 and Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951)
Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Security only KB5004959)
마이크로소프트에 따르면 Windows 10 version 1607, Windows Server 2016, Windows Server 2012에 대한 보안 업데이트는 곧 발표될 예정입니다.
마이크로소프트는 "#PrintNightmare 취약점과 관련된 업데이트와 릴리스 노트는 업데이트를 다운로드할 수 있는 시점으로부터 최대 1시간까지 지연되어 게시될 수 있습니다. 또한 나머지 Windows 버전에 대한 업데이트는 며칠 내로 출시될 예정입니다."라고 말했습니다.
[그림 1] #PrintNightmare 제로데이에 대한 KB5004945 긴급 보안 업데이트
#PrintNightmare 취약점에는 RCE(원격 코드 실행)와 LPE(로컬 권한 상승) 공격 벡터가 있으며, 이 공격 벡터는 취약한 시스템에서 SYSTEM 권한으로 명령을 실행할 수 있습니다.
보안 연구원 Matthew Hickey는 마이크로소프트가 발표한 긴급 보안 업데이트에서 RCE(원격 코드 실행)만 패치되고 LPE(로컬 권한 에스컬레이션)는 패치되지 않았음을 확인했습니다. 불완전한 패치로 여전히 PrintNightmare 취약점을 이용해 시스템 권한을 얻을 수 있습니다.
마이크로소프는 윈도우 긴급 보안 업데이트를 진행해 #PrintNightmare 취약점을 해결할 것을 권고합니다. 또한 마이크로소프트는 프린트 스풀러 서비스를 비활성화하거나 그룹 정책에서 프린터 스풀러가 클라이언트 접속 허용을 못 하도록 차단할 것을 권장하고 있습니다. 두 번째 방법을 사용할 경우 프린트 서버는 사용할 수 없지만 직접 연결된 장치의 로컬 인쇄는 가능합니다.
보안관제센터 Team MIR