Microsoft "Folina" MSDT Windows 제로데이 취약점을 수정하는 방법

마이크로소프트는 윈도우 11, 윈도우 10, 윈도우 8.1 및 윈도우 7을 포함한 주요 버전에서 발견된 심각한 제로데이 취약점을 인지했습니다. CVE-2022-30190 또는 "폴리나(Follina)"라고 명명된 이 취약점을 통해 공격자는 윈도우 디펜더나 다른 보안 소프트웨어 없이도 원격으로 악성 코드를 실행할 수 있습니다. 다행히도 마이크로소프트는 이 위험을 완화하기 위한 공식적인 해결책을 제시했습니다. 이 글에서는 최신 제로데이 취약점으로부터 윈도우 11/10 PC를 보호하는 방법을 상세히 안내합니다.

"폴리나" MSDT 윈도우 제로데이 취약점 해결 (2022년 6월)

폴리나 MSDT 윈도우 제로데이 (CVE-2022-30190) 취약점이란 무엇인가?

이 취약점을 해결하기 위한 단계를 시작하기 전에 먼저 이 익스플로잇이 무엇인지 이해해야 합니다. CVE-2022-30190으로 알려진 이 제로데이 공격은 마이크로소프트 지원 진단 도구(MSDT)와 관련이 있습니다. 공격자는 악의적인 오피스 문서를 열 때 MSDT를 통해 원격으로 파워쉘 명령을 실행할 수 있습니다.

마이크로소프트에 따르면, "워드와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 원격 코드 실행 취약점이 발생합니다. 공격자가 이 취약점을 성공적으로 이용하면 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있습니다. 이는 프로그램 설치, 데이터 열람 또는 변경, 삭제는 물론 사용자 권한이 허용하는 범위 내에서 새 계정 생성까지 가능합니다."라고 합니다.

연구원 케빈 보몬트의 설명에 따르면, 이 공격은 워드의 원격 템플릿 기능을 이용하여 원격 웹 서버에서 HTML 파일을 가져옵니다. 이후 ms-msdt MSProtocol URI 체계를 사용하여 코드를 로드하고 파워쉘 명령을 실행합니다. 참고로 이 공격은 샘플 파일이 이탈리아 폴리나 지역 코드인 0438을 참조하기 때문에 "폴리나"라는 이름이 붙었습니다.

마이크로소프트의 제한된 보기 기능이 왜 문서 내 링크 실행을 막지 못하는지 궁금할 수 있습니다. 그 이유는 제한된 보기의 범위를 벗어나서도 실행이 발생할 수 있기 때문입니다. 연구원 존 해먼드가 트위터에서 지적했듯이, 링크는 익스플로러 미리보기 창에서 서식 있는 텍스트 형식(.rtf) 파일로 즉시 실행될 수 있습니다.

ArsTechnica의 보고에 따르면, 섀도 체이서 그룹 연구원들은 4월 12일경에 마이크로소프트에 이 문제를 알렸습니다. 마이크로소프트는 일주일 후 응답했지만, 동일한 문제를 재현할 수 없다는 이유로 이를 기각한 것으로 보입니다. 하지만 이제 이 취약점은 제로데이로 지정되었고, 마이크로소프트는 MSDT URL 프로토콜을 비활성화하여 공격으로부터 PC를 보호하는 해결책을 권장하고 있습니다.

내 윈도우 PC가 폴리나 공격에 취약한가?

마이크로소프트는 보안 업데이트 가이드 페이지에서 폴리나 CVE-2022-30190 취약점에 영향을 받는 41개의 윈도우 버전을 공개했습니다. 여기에는 윈도우 7, 윈도우 8.1, 윈도우 10, 윈도우 11 및 윈도우 서버 에디션이 포함됩니다. 영향을 받는 전체 버전 목록은 다음과 같습니다.

32비트 시스템용 윈도우 10 버전 1607
x64 기반 시스템용 윈도우 10 버전 1607
32비트 시스템용 윈도우 10 버전 1809
ARM64 기반 시스템용 윈도우 10 버전 1809
x64 기반 시스템용 윈도우 10 버전 1809
32비트 시스템용 윈도우 10 버전 20H2
ARM64 기반 시스템용 윈도우 10 버전 20H2
x64 기반 시스템용 윈도우 10 버전 20H2
32비트 시스템용 윈도우 10 버전 21H1
ARM64 기반 시스템용 윈도우 10 버전 21H1
x64 기반 시스템용 윈도우 10 버전 21H1
32비트 시스템용 윈도우 10 버전 21H2
ARM64 기반 시스템용 윈도우 10 버전 21H2
x64 기반 시스템용 윈도우 10 버전 21H2
32비트 시스템용 윈도우 10
x64 기반 시스템용 윈도우 10
ARM64 기반 시스템용 윈도우 11
x64 기반 시스템용 윈도우 11
32비트 시스템용 윈도우 7 서비스 팩 1
x64 기반 시스템용 윈도우 7 서비스 팩 1
32비트 시스템용 윈도우 8.1
x64 기반 시스템용 윈도우 8.1
윈도우 RT 8.1
x64 기반 시스템용 윈도우 서버 2008 R2 서비스 팩 1
x64 기반 시스템용 윈도우 서버 2008 R2 서비스 팩 1(Server Core 설치)
32비트 시스템용 윈도우 서버 2008 서비스 팩 2
32비트 시스템용 윈도우 서버 2008 서비스 팩 2(Server Core 설치)
x64 기반 시스템용 윈도우 서버 2008 서비스 팩 2
x64 기반 시스템용 윈도우 서버 2008 서비스 팩 2(Server Core 설치)
윈도우 서버 2012
윈도우 서버 2012 (Server Core 설치)
윈도우 서버 2012 R2
윈도우 서버 2012 R2 (Server Core 설치)
윈도우 서버 2016
윈도우 서버 2016 (Server Core 설치)
윈도우 서버 2019
윈도우 서버 2019 (Server Core 설치)
윈도우 서버 2022
윈도우 서버 2022 (Server Core 설치)
윈도우 서버 2022 Azure 에디션 코어 핫패치
윈도우 서버, 버전 20H2 (Server Core 설치)

폴리나 취약점으로부터 윈도우를 보호하기 위해 MSDT URL 프로토콜 비활성화

1. 키보드의 윈도우 키를 누르고 "cmd" 또는 "명령 프롬프트"를 입력합니다. 검색 결과에서 "관리자 권한으로 실행"을 선택하여 관리자 권한 명령 프롬프트 창을 엽니다.

2. 레지스트리를 수정하기 전에 다음 명령을 사용하여 백업을 수행하십시오. 이렇게 하면 마이크로소프트에서 공식 패치를 배포한 후에 프로토콜을 복원할 수 있습니다. 여기서 <file_path.reg>는 .reg 백업 파일을 저장할 경로를 나타냅니다.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. 이제 다음 명령을 실행하여 MSDT URL 프로토콜을 비활성화할 수 있습니다. 성공하면 명령 프롬프트 창에 "작업이 성공적으로 완료되었습니다."라는 메시지가 표시됩니다.

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. 나중에 프로토콜을 복원하려면 2단계에서 만든 레지스트리 백업을 사용해야 합니다. 다음 명령을 실행하면 MSDT URL 프로토콜을 다시 사용할 수 있습니다.

reg import <file_path.reg>

MSDT 윈도우 제로데이 취약점으로부터 윈도우 PC 보호

이것이 폴리나 공격을 방지하기 위해 윈도우 PC에서 MSDT URL 프로토콜을 비활성화하는 데 필요한 단계입니다. 마이크로소프트에서 모든 윈도우 버전에 대한 공식 보안 패치를 발표할 때까지 이 임시 해결책을 사용하여 CVE-2022-30190 윈도우 폴리나 MSDT 제로데이 취약점으로부터 보호할 수 있습니다. PC를 악성 프로그램으로부터 보호하는 것과 관련하여, 다른 바이러스로부터 안전하게 보호하기 위해 전용 멀웨어 제거 도구 또는 안티바이러스 소프트웨어를 설치하는 것도 고려해 볼 수 있습니다.