윈도우 업데이트의 배신? 적용된 줄 알았던 취약점 패치 흔적 없이 증발해 작성일 05-19 37 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="yfrXVyrNwG"> <p contents-hash="459861f18de17d32345dbbf3815e23b5acf6317a56e4ff02ea8cd6e33c664b4c" dmcf-pid="W4mZfWmjsY" dmcf-ptype="general"><strong>독립 연구원 카오틱 이클립스, 패치되지 않은 채 방치된 치명적 결함 발표<br>5월 최신 업데이트 마친 윈도우 11에서도 작동 확인되며 패치 롤백 의혹 제기</strong></p> <p contents-hash="b75e461ecd76073c2d04e88f85f0c5dccae95dd27044a66a206d090d90b9efe1" dmcf-pid="Y8s54YsAsW" dmcf-ptype="general">[보안뉴스 김형근 기자] 마이크로소프트(MS)가 공식적으로 해결했다고 발표한 보안 결함이 수년간 방치되면서 최신 윈도우 시스템을 위협하고 있다. 지난 2020년 구글이 발견한 취약점을 악용한 신종 제로데이 ‘미니플라즈마’(MiniPlasma)가 공개되면서, 엔드포인트 보안에 적신호가 켜졌다.</p> <figure class="figure_frm origin_fig" contents-hash="4c31b3667c6e15e731f1955efb606c60995f7d15be3dfb229540117522ebe74a" dmcf-pid="G6O18GOcmy" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/19/552815-KkymUii/20260519112344062kvis.jpg" data-org-width="750" dmcf-mid="x9EYKSEosH" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/19/552815-KkymUii/20260519112344062kvis.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: gettyimagesbank] </figcaption> </figure> <div contents-hash="d0b159d2792a526770ead988309d96d41107b1372c0abeda1047f74520314b0e" dmcf-pid="HPIt6HIksT" dmcf-ptype="general"> <br>최근 윈도우 결함인 옐로우키와 그린플라즈마를 규명한 독립 보안 연구원 카오틱 이클립스(Chaotic Eclipse)는 윈도우 시스템 최고 권한을 탈취할 수 있는 ‘미니플라즈마’(MiniPlasma) 제로데이 취약점의 개념증명(PoC) 코드를 공개했다. </div> <p contents-hash="abeca2c6bec53c2c481e6514fdd5aa9c6dd6eb911db67848f60289823f680fbd" dmcf-pid="XQCFPXCEOv" dmcf-ptype="general">이번 보안 취약점은 윈도우 클라우드 파일 미니 필터 드라이버인 ‘cldflt[.]sys’ 내부의 특정 루틴(HsmOsBlockPlaceholderAccess)에서 발생한다. 충격적인 지점은 이 결함이 새로운 것이 아니라는 점이다. 해당 취약점은 지난 2020년 구글이 발견했고, 같은 해 MS의 정기 업데이트를 통해 해당 결함을 해결했다고 발표한 바 있다.</p> <p contents-hash="4d72e93e5b82b518feccc8452339e7f2781973afb2c5548d2d68ff381d3d2f8b" dmcf-pid="Z3isFEiPsS" dmcf-ptype="general">그러나 카오틱 이클립스의 조사 결과, 해당 패치는 현재 작동하지 않은 상태인 것으로 들어났다. MS가 당시 패치를 제대로 완료하지 않았거나, 알 수 없는 이유로 패치 내용이 롤백됐을 가능성이 크다는 지적이다. 실제로 이들은 과거 구글이 작성했던 최초의 PoC 코드가 단 한 줄의 수정 없이 현재의 최신 윈도우 시스템에서도 시스템 셸(SYSTEM shell)을 구동하며. 최고 권한을 달취하는 데 성공했다.</p> <p contents-hash="48991282ea482140b4b4c17d8a436849a8cddb9b709ce0137343d890a0981305" dmcf-pid="50nO3DnQsl" dmcf-ptype="general">이번 미니플라즈마 코드는 시스템 내부의 타이밍을 노리는 경쟁 조건(Race Condition) 오류를 활용하기 때문에 실행 환경에 따라 성공 확률에 차이가 존재한다. 유명 보안 전문가 윌 도만이 소셜미디어를 통해 올해 5월 최신 보안 업데이트를 모두 마친 윈도우 11 환경에서도 미니플라즈마가 완벽히 구동돼 최고 권한의 명령 프롬프트를 강제로 실행할 수 있음을 직접 검증하면서 파장이 커지고 있다.</p> <p contents-hash="8c35c664ec32443523bd8f3feb133ae4beeab35ef4d095435659b97dc4e5a83b" dmcf-pid="1pLI0wLxOh" dmcf-ptype="general">현재 유통 중인 거의 모든 버전의 윈도우에서 미니플라즈마 제로데이의 사각지대에 노출된 것으로 관측된다. 다만 최신 인사이더 프리뷰 카나리(Insider Preview Canary) 버전의 윈도우 11에서는 해당 공격이 통하지 않는 것으로 확인됐다.</p> <p contents-hash="e2b29fd90403fca04a0353ecf2e8b5225df7026a8eb7df8fe75be243e05512c6" dmcf-pid="tUoCproMEC" dmcf-ptype="general">한편, MS는 지난해 12월 동일한 동일한 드라이버 컴포넌트에서 해커들이 악용하던 또 다른 권한 상승 결함(CVE-2025-62221)을 수정한 바 있어, 해당 드라이버 모듈을 둘러싼 코드 무결성 점검이 시급하다는 지적이 나온다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 청소년 안전 전문가 영입한 오픈AI… AI도 ‘키즈 세이프티’ 경쟁 05-19 다음 [현장] "한글과컴퓨터는 잊어라"...새 옷 입은 한컴, AI 기업으로 진화 05-19 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
