보안 권고 2269637 - DLL 로드 취약점

이번 주 초 DLL 프리로딩 공격(DLL preloading attacks)과 관련해 마이크로소프트 보안 권고 2269637가 발표됐습니다. 영향을 받을 수 있는 소프트웨어가 다양하고 광범위해 많은 관심을 받고 있는 사안입니다. 블로그를 통해 전파되는 내용 중에는 실제 사실에 비해 약간은 부풀려진 점도 있습니다.

우선 이번 취약점이 있는 소프트웨어의 목록이 비공식적으로 몇몇 곳에서 만들어졌습니다. 마이크로소프트는 타사 제품에 대해서는 목록을 제공하기 어렵고, 자사의 제품 즉 오피스나 기타 윈도우 구성 요소에 대해서는 계속 조사 중이며 조만간 목록을 제공할 예정입니다. 마이크로소프트가 하나의 보안 패치를 내서 모든 소프트웨어의 이번 취약점을 한 방에 해결할 수 있는 종류의 문제가 아니고 각각의 소프트웨어 제작사가 애플리케이션을 새로 빌드해 패치를 제공해야 하는 어려움이 있습니다. 마이크로소프트는 자사 제품에 대해 조사가 끝나면 그에 해당하는 보안 패치를 제공할 계획입니다.

이 취약점을 공격하려면 사용자가 원격 파일 공유나 WebDav 공유를 접속해 파일을 열고 취약점이 있는 소프트웨어로 그 문서를 불러들여야 합니다. 대부분 SMB 프로토콜은 방화벽에서 막는 것이 일반적이기 때문에 다소 취약점 공격 가능성이 줄어듭니다.

보안 패치가 나오기 전까지 마이크로소프트 보안 권고 2269637에서 설명하는 대안을 적용하실 것을 권합니다. 이 때 마이크로소프트의 툴을 사용할 수 있습니다. 방화벽에서는 TCP 139와 445를 막는 것이 좋습니다.

또 하나, Oliver Lavery라는 분이 쓴 블로그 포스팅에 도움이 될 만한 정보가 몇 가지 있습니다. 기업 환경에서는 네트워크 공유 위치를 통해 파일을 불러들이는 것이 일반적이기 때문에 내부 공격자가 활용하기에 적당한 시나리오라는 의견과 함께, 과도하게 공포에 질릴 정도의 취약점은 아니라는 말도 있네요.

SWI 팀 블로그에 취약점에 대한 상세한 기술적 설명이 있습니다.