개요

이 문서에서는 다음 취약성에 관련된 정보를 논의할 것입니다：

배경

현재 주목할 만한 CVE 두 가지가 있습니다：

• 2021년 6월에 원격 코드 실행(RCE) 취약점이 Windows 프린트 스풀러에서 발견되어 CVE-2021-1675로 지정되었습니다． 
• 7월 1일, Microsoft는 CVE-2021-34527에 대한 권고를 발표했습니다． 언론에서는 이를 'PrintNightmare'이라고 부르고 있습니다． Microsoft는 이 CVE가 CVE-2021-1675에서 다루어진 결함과는 별개의 문제라고 지적합니다．

영향력

이 권고의 일환으로 공개된 가장 주목할 만한 취약점은 CVE-2021-34527 (PrintNightmare)입니다． 이것은 Windows 프린트 스풀러에 영향을 미치는 원격 코드 실행(RCE) 취약점이며, 취약성을 노출하기 위해 연결된 프린터가 시스템에 필요하지 않습니다．

CVE-2021-1675

CVE-2021-1675의 악용은 원격 공격자에게 취약한 시스템의 완전한 제어권을 제공할 수 있습니다． RCE를 수행하려면 공격자가 프린트 스풀러 서비스에 인증된 사용자를 대상으로 해야 합니다． 인증 없이도, 이 결함은 권한 상승을 위해 악용될 수 있으며, 이 취약점을 공격 체인의 중요한 연결로 만듭니다．

CVE-2021-1675는 2021년 6월 8일 발표된 Microsoft 보안 업데이트에 의해 처리되었습니다．

CVE-2021-34527

7월 1일 발표된 CVE-2021-34527도 Windows 프린트 스풀러 서비스 내의 RCE 취약점입니다． 이 취약점의 성공적인 악용은 공격자에게 프로그램 설치, 데이터 보기/변경/삭제, 또는 모든 사용자 권한이 있는 새로운 계정 생성을 포함하여 SYSTEM 권한으로 임의의 코드를 실행할 수 있는 능력을 부여합니다． 그러나 이것도 여전히 CVE-2021-1675와 마찬가지로 인증된 사용자 계정을 요구합니다．

공격에는 RpcAddPrinterDriverEx()을 호출하는 인증된 사용자가 포함되어야 합니다．

모든 버전의 Windows가 잠재적으로 취약합니다．

카토 결의

고객을 보호하기 위해, 카토는 다음 단계를 수행했습니다:

• 전 세계적으로 이 취약점 위협을 완화하기 위해 침입 방지 시스템(IPS) 서명을 배포했습니다．
• 만약 카토 IPS가 활성화되어 있다면, 수동 구성 변경(또는 IPS 서명 데이터베이스 업데이트) 없이 이 익스플로잇으로부터 보호됩니다． 그러나, 우리는 취약점의 근원에서 악용을 줄이기 위해 공급업체 권고를 따를 것을 권고합니다．  
• CVE-2021-1675 또는 CVE-2021-34527 서명 프로필에 부합하는 비암호화 악성 트래픽이 식별되는 경우, 이 트래픽은 차단되고, 이벤트 발견 창 내에서 증거 기록이 Cato 관리 애플리케이션 내에서 생성될 것입니다． 

또한, Cato는 항상 시스템을 Microsoft의 최신 보안 업데이트 및 공급업체의 완화 전략으로 패치할 것을 권장합니다. 이것은 Microsoft 제품과 관련하여 발생할 수 있는 추가적인 취약점을 완화하는 데 도움이 될 수 있습니다.