Microsoft의 버그 사냥 숙적, 더 많은 제로 데이(Zero-day) 공격으로 보복 확대 — Nightmare Eclipse

사이버 보안 업계에 등장한 이후로, Nightmare-Eclipse (일명 Chaotic-Eclipse)는 Microsoft Security Response Center(MSRC)에게 아마도 가장 큰 골칫거리였을 것입니다. Redmond와 불만을 품은 사이버 보안 전문가 사이의 이 오랜 서사는 이번 주 RoguePlanet 및 GreatXML 익스플로잇(Exploit)의 공개로 인해 몇 개의 새로운 장을 맞이하게 되었습니다.

RoguePlanet은 아마도 가장 악랄한 공격일 것입니다. 이는 Windows Defender의 또 다른 취약점을 악용하여 SYSTEM 사용자 액세스 권한을 획득하며, 공격자가 표준 관리자(Administrator)보다 더 높은 권한 수준에서 명령을 실행할 수 있게 합니다. 실제 메커니즘은 간단합니다. 사용자가 스크립트를 실행하도록 속이기만 하면, 해당 스크립트는 머신에 대한 전체 액세스 권한을 얻어 모든 데이터를 탈취하거나, 데이터 유출용 멀웨어(Malware)를 설치된 상태로 유지하거나, 기타 수많은 악성 활동을 수행할 수 있는 능력을 갖게 됩니다.

RoguePlanet은 ISO 마운팅(Mounting)과 볼륨 섀도 복사본(Volume Shadow Copy) 사이의 레이스 컨디션(Race condition)에 의존하는 것으로 보이는데, 이는 이 공격이 타이밍 기반이며 피해자의 머신에서 트리거될 수 있는 정확한 조건이 매번 보장되지는 않음을 의미합니다. Eclipse 본인들도 특정 설치 환경에서는 100% 성공률을 보였지만, 익스플로잇이 "다른 환경에서는 작동하는 데 어려움을 겪었다"라고 말합니다.

그들은 RoguePlanet이 최근 출시된 2026년 6월 업데이트를 포함하여 완전히 패치된 Windows 시스템에서 작동하며, Windows Server 또한 마찬가지로 취약할 것이라고 상당히 확신한다고 언급했습니다. 다만, Server 에디션 사용자는 기본적으로 ISO를 마운트할 수 없다는 사실을 우회하기 위해 개념 증명(Proof-of-concept) 코드를 재설계할 필요가 있다고 덧붙였습니다.

GreatXML의 경우, 이는 또 다른 BitLocker 우회(bypass) 사례입니다. 공격 조건이 훨씬 더 엄격하기 때문에 YellowKey보다는 훨씬 덜 위협적이지만, 그럼에도 불구하고 Microsoft 입장에서는 다소 당혹스러운 순간(egg-on-face moment)입니다. 이 우회를 실행하려면 공격자는 특별히 제작된 "unattend.xml" 파일과 "Recovery" 디렉터리를 Windows의 복구 파티션(recovery partition)에 작성해야 합니다. 그 후, Windows Defender 오프라인 검사(Windows Defender Offline Scan)가 실행되었거나 과거에 실행된 적이 있다면, 복구 환경(recovery environment)으로 재부팅할 때 BitLocker로 보호된 드라이브가 아무 문제 없이 열리게 됩니다.

이러한 요구 사항은 공격자가 충족하기에 상당히 높은 문턱이지만, 이 접근 방식의 유효성은 BitLocker와 Windows 복구 환경(WinRE)에 여전히 어떤 백도어(backdoor)처럼 보이는 동작들이 남아 있는지에 대한 의문을 제기합니다. Eclipse는 로그인 없이도 Defender 오프라인 검사를 트리거하는 것이 가능할 수도 있다고 믿고 있지만, 현재로서는 확실한 것은 아닙니다. 그렇기는 해도, 내일 당장 그들이 바로 그 방법을 찾아낸다 하더라도 놀라운 일은 아닐 것입니다.

Eclipse와 Microsoft 사이의 갈등으로 인해 Redmond 측에서 그들의 GitHub 계정을 차단함에 따라, 해당 연구자는 이후 자신의 개념 증명(Proof-of-concept) 코드를 익스플로잇(exploit)을 위한 다소 제한이 없는 커뮤니티이자 코드 저장소인 Church of Malware로 옮겼습니다. 재미있게도, 그들의 보조 GitHub 계정은 여전히 온라인 상태로 남아 있습니다.

Tom's Hardware의 최고의 뉴스 및 심층 리뷰를 받은 편지함으로 직접 받아보세요.

해당 기업은 이전에도 Eclipse를 상대로 법적 조치를 위협했으나, 이후 물러섰습니다. Eclipse 측에서도 이전에 7월 14일에 Windows 제로 데이(zero-day) 취약점들을 대량 공개하겠다고 위협한 바 있습니다. 그들 또한 RoguePlanet을 작성하는 데 예상보다 많은 시간이 걸렸으며, 휴식을 취할 수도 있어 결국 7월 14일을 'Windowspocalypse Day'로 만들지는 않을 것 같다고 밝히며 한발 물러섰습니다.

Tom's Hardware를 Google 뉴스에서 팔로우하거나, 즐겨찾는 소스로 추가하여 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요.

Bruno Ferreira는 Tom's Hardware의 기고가입니다. 그는 개발자로서의 경력과 더불어 PC 하드웨어 및 다양한 잡다한 분야에서 수십 년의 경험을 보유하고 있습니다. 그는 세부 사항에 집착하는 경향이 있으며, 자신이 좋아하는 주제에 대해 길게 늘어놓는 습관이 있습니다. 그렇지 않을 때는 주로 게임을 즐기거나, 라이브 음악 공연 및 페스티벌에 참여하곤 합니다.