구글: 윈도우 7 및 8.1 사용자들이 마이크로소프트로 인해 위험에 처해 있다

마이크로소프트가 윈도우 7 및 8.1 사용자를 위험에 빠뜨리고 있다는 구글의 주장

구글의 프로젝트 제로 연구원 마테우스 유르칙(Mateusz Jurczyk)에 따르면, 마이크로소프트는 현재 운영 체제인 윈도우 10의 취약점 패치에만 집중하고 있으며, 윈도우 7 및 8은 동일한 중요한 보안 업데이트와 패치를 제공하지 않아 방치하고 있습니다. 그 결과, 구버전 운영 체제를 사용하는 수억 대의 컴퓨터가 해커에 의해 손상될 위험에 처해 있습니다.

유르칙은 분석을 수행하는 동안 윈도우 7 및 8.1에만 영향을 미치고 윈도우 10에는 영향을 미치지 않는 세 가지 취약점: CVE-2017-8680, CVE-2017-8684, CVE-2017-8685를 발견했습니다. 그는 마이크로소프트가 최신 운영 체제에서 패치를 적용했지만 구버전에서는 적용하지 않았기 때문에 이러한 취약점을 찾을 수 있었습니다.

유르칙은 ‘이진 차이 분석(binary diffing)’이라는 기술을 사용하여 윈도우 10에 적용된 패치의 예를 찾았지만 윈도우 7이나 8.1에는 적용되지 않은 패치의 예를 발견했습니다.

잘 모르는 분들을 위해, 이진 차이 분석은 마이크로소프트와 같은 소프트웨어 공급업체가 발표한 패치를 역공학하는 강력한 기술입니다. 특히 보안 패치를 분석함으로써 수정하고 있는 취약점의 세부 사항을 파악할 수 있습니다. 이 이진 차이 분석 기술은 마이크로소프트 바이너리에 특히 유용합니다.

이진 차이 분석을 사용함으로써 해커들은 윈도우 10에서 수정된 취약점을 분석하고 이전 버전의 윈도우에 존재하는 동일한 보안 버그를 악용하여 사용자들을 위험에 빠뜨릴 수 있습니다.

“마이크로소프트는 최근 윈도우 플랫폼에만 여러 가지 구조적 보안 개선 및 때때로 일반적인 버그 수정을 도입하는 것으로 알려져 있습니다. 이는 구버전 시스템 사용자에게 잘못된 보안 감각을 주며, 서로 다른 윈도우 버전의 해당 코드에서 미세한 변화를 감지함으로써 발견할 수 있는 소프트웨어 결함에 취약하게 만듭니다.”라고 유르칙은 설명합니다.

“이는 일부 고객을 공격에 노출시킬 뿐만 아니라 공격 벡터를 명백히 드러내어 사용자 보안에 직접적으로 반하는 결과를 초래합니다. 이는 커널 메모리 노출 및 추가된 memset 호출과 같은 명백한 수정이 있는 버그 클래스에 특히 해당됩니다.”

다행히도, 위에서 언급한 세 가지 취약점은 올해 5월 말 프로젝트 제로에 의해 통보된 후 지난달 마이크로소프트에 의해 패치되었습니다.

마이크로소프트는 또한 레지스터(The Register)에 대한 성명에서 모든 윈도우 사용자가 동일한 버전의 운영 체제를 사용하기를 선호한다고 분명히 밝혔습니다. 회사는 다음과 같이 말했습니다:

“윈도우는 보고된 보안 문제를 조사하고 영향을 받는 장치를 가능한 한 빨리 사전 업데이트하는 고객 약속을 가지고 있습니다. 또한 우리는 방어 심화 보안에 지속적으로 투자하고 있으며, 고객에게 최상의 보호를 위해 윈도우 10과 마이크로소프트 엣지 브라우저를 사용할 것을 권장합니다.”

현재 마이크로소프트는 윈도우 10과 함께 이전 운영 체제인 윈도우 7, 8.1을 지원하고 있습니다. 윈도우 7은 2020년 1월 14일까지 마이크로소프트로부터 월간 보안 수정을 받을 예정이며, 윈도우 8.1은 2023년 1월 10일까지 받을 예정입니다.

자세한 유르칙의 분석을 보려면 여기를 클릭하세요.