거의 모든 윈도우에 해당하는 프린트 스풀러 취약점🖨

윈도우 패치해도 위험?!
거의 모든 윈도우에 해당하는 프린트 스풀러 취약점(CVE-2021-1675)

 

최근 윈도우 *Print Spooler 취약점을 악용할 수 있는 PoC 익스플로잇이 Github에 잠시 동안 게시됐습니다.
*Print Spooler : 프린터 작업을 관리하는 프로세스

Microsoft는 6월 8일 ‘Patch Tuesday’ 업데이트를 진행했지만, 패치된 윈도우에서도 PrintNightmare 공격이 성공했습니다.
Microsoft는 CVE-2021-1675 취약점의 영향을 '권한 상승'에서 '원격 코드 실행'으로 조정하고 심각도 수준을 ‘중요’에서 ‘치명적’으로 변경했습니다.

 

프린트 스풀러는 적절한 프린터 드라이브를 로드하고, 인쇄 작업을 예약하는 등 윈도우 내 인쇄 프로세스를 관리합니다.

 

CVE-2021-1675(PrintNightmare) 취약점은 공격 범위가 넓을 뿐만 아니라 타사 바이너리를 가장 높은 권한 수준으로 동적 로드할 수 있기 때문에 매우 위험합니다.

 

만약 내부망에 있는 사용자가 공격을 받는다면, 공격자는 Print Spooler가 활성화된 도메인 컨트롤러에 해당 취약점을 이용해 악성 드라이버를 설치하고 내부망을 장악할 수 있습니다.

 

아직 마이크로소프트의 6월 정기 패치가 완벽하지 않기 때문에 윈도우 업데이트와 함께 *스풀러 서비스를 중지하고 비활성화해야 하겠습니다.
*스풀러 서비스 중지 : services.msc > Print Spooler 서비스 > 사용 중지 클릭