윈도우 XP부터 윈도우 10까지, RID 보안 취약점 10개월이나 방치

2018-10-19 11:51
이상호 기자 ghostlee@bodnara.co.kr

공격자가 윈도우에 백도어를 영구히 심어놓을 수 있는 보안 취약점이 발견되었다.

콜롬비아 CSL 보안 회사의 보안 연구원인 Sebastián Castro에 따르면, 간단한 레지스트리 수정만으로 윈도우 사용자 계정의 권한 배정에 사용되는 RID(Relative Identifier) 변경이 가능하다고 밝혔는데, 해당 취약점이 악용될 경우 게스트 계정으로도 관리자 권한을 획득할 수 있다는 뜻이 된다.

단지, 레지스트리 수정이 필요한 공격 특성상 시스템이 다른 공격을 통해 공격자가 피해자의 이메일 첨부 파일이나 다른 매체를 통해 원격 접속 권한을 획득하거나 침입을 위한 인터넷 포트 개방 등의 조치가 필요하며, 공격에 성공한다면 전체 시스템 권한 획득을 위한 영구적인 백도어를 심게된다.

발표된 내용에 따르면 RID 보안 취약점은 윈도우 XP부터 윈도우 10, 윈도우 서버 2003부터 2016까지 내포되어 있으며, 공격자가 일반적인 윈도우 리소스를 사용하기 때문에 피해자가 공격당한 사실을 알아차리기 쉽지 않다.

한편, 관련 소식을 전한 zdnet에 따르면, 연구진은 해당 이슈를 확인한 2017년 12월 마이크로소프트에 관련 내용을 통보하였지만 별다른 응답을 받지 못하였고, 패치도 이뤄지지 않았다. 그에 따라 2018년 10월 13일자로 이번 보안 취약점에 대한 내용을 홈페이지에 개시하였다.

추가 소식을 전한 tomshardware에 따르면 마이크로소프트측은 관련 내용을 확인하고 필요하면 조치를 취하겠다는 입장을 전했으며, 이번 RID 보안 취약점 피해 여부 확인을 위해서는 레지스트리에서 사용자의 RID 권한 관련 설정이 관리자를 뜻하는 hex값 500 (0x1f4)로 변경되었는지 확인하면 된다. 일반 유저의 경우 해당 값은 기본 0x1f5(501)이다.

닉네임

비회원

보드나라 많이 본 뉴스

게이밍 UMPC용, 인텔 코어 울트라 G3 시리즈 2분기 출시?

엔비디아 MFG 6x 모드와 동작 MFG 4월 출시 예정

엔비디아 지포스 RTX 50 SUPER 시리즈에 이어 RTX 60 시리즈도 출시 연기?

보드나라 많이 본 기사

PC는 사라지고 가전은 AI 로봇으로, 감자나무가 해설해드리는 CES 2026

엔트리부터 하이엔드까지 PCIe 5.0 시대, 2026년 키오시아 신형 SSD 런칭

성능과 튜닝 잡은 실속있는 타워형 쿨러,ALSEYE Q120S Plus

보드나라 최신 기사

[10/19] 넥슨, ‘마비노기’ 신규 아르카나 2종 및 ‘황혼의 잔허’ 2부 업데이트 실시!

[10/19] 넷마블 <나 혼자만 레벨업:어라이즈>, 신규 SSR 헌터 ‘메리 라이네’ 등 업데이트

[10/19] 이노스, 27인치 QHD 120Hz Nano IPS & USB-C 탑재한 ‘27QLS120M’ 프리미엄 모니터 출시

[10/19] 티니스튜디오, 멀티플랫폼 MMORPG ‘판타테일’ 1월 ‘골드 던전 필드 보스’ 업데이트 이어 설날 기념 접속 이벤트 진행

[10/19] 넥슨, ‘마비노기 모바일’ 설 명절 맞이 대규모 업데이트 실시!

[10/19] ‘컴투스프로야구’ 시리즈, 2026 KBO 시즌 사전 예약 돌입 '올해도 야구는 역시 컴투스!'

[10/19] 넷마블, 오픈월드 RPG 신작 『일곱 개의 대죄: Origin』 3월 17일 PS5 스팀 선공개

[10/19] 위메이드, ‘레전드 오브 이미르’ 서비스 1주년 맞이 대규모 이벤트 시즌4 업데이트 실시

[10/19] 서린씨앤아이, 컴퓨존 G.SKILL DDR5 RGB 인기상품 모음전 진행

[10/19] 이스트소프트, NTT-니혼교통과 일본 택시 AI 휴먼 서비스 도입을 위한 업무협약 체결

[10/19] 넥슨, '메이플스토리' 신규 보스 ‘유피테르’ 업데이트

[10/19] 위즈플랫, 맥북. PC 겸용KVM 도킹스테이션 ‘AV Access iDock M10’국내정식 출시

[10/19] MSI, SNS 영상 크리에이터 대상 'MSI 노트북 서포터즈 17기' 모집

[10/19] 마우저-르네사스, AI의 전력 수요 과제를 조명한 새로운 전자책 발간

[10/19] 넥슨, ‘서든어택’ 생존전에서 각종 아이템 주어지는 ‘윷든어택’ 진행

[10/19] 파인디지털, 정확한 각도 측정으로 스윙 방향을 알려주는 ‘에이밍 모드’ 탑재한 ‘파인캐디 UPL2000’ 출시 기념 예약판매 실시

[10/19] 모바일 RPG ‘드래곤네스트 월드’, 사전 예약

[10/19] 넥슨, 좀비 생존 신작 ‘낙원’ 3월 글로벌 알파 테스트 참가 신청 개시!

[10/19] 2026년 ‘넥슨 개발자 콘퍼런스’ 발표자 모집 개시

[10/19] ‘삼국지 전략판’, 서비스 5주년 맞아 ‘또래오래’와 치킨 콜라보 프로모션 진행

로그인 | 이 페이지의 PC버전