CISA Warns of Active Exploitation of Microsoft Windows Win32k Vulnerability
CISA Warns of Active Exploitation of Microsoft Windows Win32k Vulnerability
CISA has added CVE-2018-8639, a decade-old Microsoft Windows privilege escalation flaw, to its Known Exploited Vulnerabilities (KEV) catalog.
gbhackers.com
- 개요
- 미국 사이버안보청(CISA)은 CVE-2018-8639를 Known Exploited Vulnerabilities(KEV) 목록에 긴급 추가
- 본 취약점은 Microsoft Windows Win32k 커널 모드 드라이버에서 발생하는 로컬 권한 상승(Local Privilege Escalation) 문제로, SYSTEM 권한 획득 가능
- 2018년 12월 MS 패치(KB4480116)로 최초 해결되었으나, 최근 실제 공격에서 재악용 중
- 기술적 세부사항
- 취약 컴포넌트: Win32k.sys
- 취약점 유형: 리소스가 해제된 이후 잘못된 시스템 객체를 조작할 수 있는 CWE-404 (Improper Resource Management)
- 공격 방식: 로컬에서 인증된 사용자가 SYSTEM 권한으로 임의 코드 실행 가능
- 영향: 보안 통제 비활성화, 랜섬웨어 권한 상승, 백도어 설치 등 커널 모드 내 위협 지속성 확보
- 현재 보안 위협 동향
- Conti, LockBit 등 랜섬웨어 그룹의 전술(TTPs)과 유사한 공격 방식 포착
- Recorded Future에 따르면 유사 공격은 전년 대비 217% 증가
- CISA는 특정 위협그룹과의 직접 연관은 밝히지 않았으나, 의료 및 산업제어시스템(ICS) 기반 네트워크가 주요 표적
- 보안 권고
- 패치 적용 대상: Windows 7 ~ Windows 10 환경
- KB4480116 패치 미적용 자산에 대해 즉각적 보안 업데이트 권고
- CISA BOD 22-01에 따라 미국 연방기관은 2025년 3월 24일까지 조치 완료 필수
- 레거시 시스템 또는 패치 적용이 불가능한 환경에 대해서는 다음 사항 필요
- 애플리케이션 화이트리스트 적용
- 사용자 모드 실행 제한 등 방어 대책 병행 필요
- 패치 적용 대상: Windows 7 ~ Windows 10 환경
- 결론
- 과거 취약점 재활용을 통한 "취약점 노후화(Vulnerability Aging)" 전략 활성화
- 패치 누락 자산 식별 및 취약점 기반 자산관리 체계 구축이 필수적
- 권한 상승 취약점은 단독으로는 위험도가 낮아 보일 수 있으나, 공격 체인(Kill Chain) 내에서 핵심 축 역할 수행
- 민간기업도 CISA 지침 수준의 사전 대응 체계 마련 및 패치 이행 필요
- 운영 중인 산업제어시스템(ICS) 및 의료기기 내 오래된 이미지 사용 여부 점검 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| IBM Storage Virtualize 제품군 원격 코드 실행 취약점 (0) | 2025.03.24 |
|---|---|
| Cisco 중소기업용 라우터 취약점(CVE-2023-20118) 실사용 악용 경고 (0) | 2025.03.24 |
| VMware 제품군 제로데이 취약점(CVE-2025-22224~22226) 긴급 보안 권고 (0) | 2025.03.24 |
| F5 보안 플랫폼 'BIG-IP' 커맨드 인젝션 취약점(CVE-2025-20029) (0) | 2025.03.24 |
| Windows Hyper-V 시스템 권한 상승 취약점 PoC 공개 (CVE-2025-21333) (0) | 2025.03.23 |