새로운 ‘DogWalk’ 윈도우 제로데이 버그 발견

New ‘DogWalk’ Windows zero-day bug gets free unofficial patches

 

마이크로소프트 지원 진단 도구(MSDT)에서 발견된 새로운 Windows 제로데이 취약점에 대한 무료 비공식 패치가 0patch 플랫폼을 통해 공개되었습니다.

 

농담으로 DogWalk라 명명된 이 취약점은 공격자가 (이메일을 통해 받거나 웹에서 다운로드한) 악의적으로 제작된 .diagcab 파일을 열 때 윈도우 시작 폴더에 실행 파일을 복사하기 위해 공격자가 악용할 수 있는 경로 탐색 취약점입니다.

 

해당 악성 실행 파일은 다음에 피해자가 윈도우를 재시작할 때 자동으로 실행됩니다.

 

이 취약점은 2020년 1월 보안 연구원인 Imre Rad가 처음으로 공개했습니다. 마이크로소프트는 해당 문제가 보안 이슈가 아니기 때문에 수정하지 않을 것이라 답했습니다. 하지만 최근 보안 연구원인 j00sean가 해당 버그를 다시 발견해 대중에 알려지게 되었습니다.

 

마이크로소프트는 .diagcab 파일이 자동으로 차단되기 때문에 Outlook 사용자가 위험하지 않다고 말했지만, 보안 연구원과 전문가는 여전히 이 버그를 악용해 유효한 공격을 실행할 수 있다고 밝혔습니다.

 

 

<이미지 출처: https://twitter.com/j00sean/status/1533889445027536899>

 

 

예를 들어, 공격자가 다른 이메일 클라이언트 또는 공격자가 제어하는 ​​사이트를 통한 드라이브 바이 다운로드를 통해 악성 파일을 전달하는 경우 .diagcab 파일이 인터넷에서 다운로드되고 MOTW(Mark-of-the-Web)가 포함되어 있더라도 윈도우는 해당 파일 형식을 무시하고 경고 없이 파일을 열 수 있습니다.

 

MOTW 속성은 웹 브라우저와 윈도우에서 파일을 의심스러운 것으로 분류해야 하는지 여부를 결정하는 데 사용되며, 무시할 경우 더 많은 사용자가 다운로드한 파일을 열 수 있습니다.

 

0patch의 공동 설립자인 Mitja Kolsek은 아래와 같이 설명했습니다.

 

"Outlook만이 유일한 전달 수단은 아닙니다. 이러한 파일은 웹 사이트를 방문하기만 하면 마이크로소프트 Edge를 포함한 모든 주요 브라우저에서 다운로드됩니다. 이는 브라우저의 다운로드에서 단 한 번의 클릭(또는 잘못된 클릭)으로 오픈할 수 있습니다.”

 

"공격자의 코드를 실행할 수 있는 알려진 다른 파일을 다운로드 및 오픈할 때와는 달리, 프로세스에서는 경고가 표시되지 않습니다."

 

이 취약점은 최신 버전(윈도우 11 및 서버 2022)부터 윈도우 7 및 서버 2008까지 모든 윈도우의 버전에 영향을 미칩니다.

 

취약한 윈도우 시스템에 사용할 수 있는 비공식 패치

 

0patch 마이크로패칭 서비스는 마이크로소프트가 이 제로데이 취약점에 대한 공식 보안 패치를 공개하기 전까지 아래 취약한 윈도우 버전 대부분에 적용할 수 있는 무료 비공식 패치를 개발했습니다.

 

Windows 11 v21H2

Windows 10 (v1803 to v21H2)

Windows 7

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server 2022

 

Kolsek은 아래와 같이 설명했습니다.

 

"이는 아직까지 공식적으로 수정되지 않은 '0day' 취약점이기 때문에, 패치 출시 전까지 마이크로패치를 무료로 제공하고 있습니다."

 

"아직까지 해당 취약점이 실제 공격에서 악용되었는지 여부는 알 수 없습니다. 하지만 현실적으로 이 취약점은 악용이 가능하다는 것을 알고 있습니다.”

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-dogwalk-windows-zero-day-bug-gets-free-unofficial-patches/

https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html