Microsoft가 2025년 4월 Windows 보안 업데이트를 진행을 했으면 세계 사용자는 Microsoft 업데이트 가 기본 드라이브에 inetpub 이라는 빈 폴더를 생성했다는 사실을 알게 되었습니다.
마이크로소프트는 처음에는 해당 폴더의 존재에 대해 입을 다물고 있었고 공식 릴리스 노트에는 관련 정보가 전혀 포함되어 있지 않았습니다. 얼마 지나지 않아 마이크로소프트는 "보안 강화"를 위해 해당 폴더를 의도적으로 생성했다고 견해를 내놓았습니다. 사용자와 관리자는 해당 폴더를 그대로 유지하고 함부로 수정하지 않도록 권고가 되었고 이전에 글을 적은 적이 있었습니다.
inetpub 폴더 만들어진 이유
Microsoft는 공격자가 심볼릭 링크를 사용하여 권한을 상승시킬 수 있는 CVE-2025–21204에 대한 직접적인 대응으로 해당 폴더를 만들었습니다.
이제 이 폴더가 사이버 범죄자들에 의해 사악한 목적으로 사용될 가능성이 있다는 것이 증명되었습니다.
보안 연구원 Kevin Beaumont이 해당 부분을 공개했습니다.
해당 부분에서 서비스 스택에 서비스 거부(DoS) 취약점을 발생한다는 문제입니다.
일반 사용자는 이 문제를 악용하여 모든 Windows 보안 업데이트를 중단할 수 있음
문제를 악용하려면 일반(비상향) 프롬프터에서 단일 명령만 실행됩니다.
예를 들어서 CMD 를 악용을 해서 접근을 하는 방식입니다.
mklink /jc:\inetpub c:\windows\system32\notepad.exe
하면 c:\inetpub과 메모장 사이에 심볼릭 링크가 생성되며 그 시점부터는 2025년 4월 Windows OS 갱신(및 Microsoft에서 수정하지 않는 한 향후 업데이트)가 설치되지 않습니다.
오류가 발생하거나 롤백 됩니다. (따라서 결과적으로 시스템이 앞으로 보안 업데이트를 받지 못하게 만드는 서비스 거부(DoS) 상태를 가져올 수 있습니다.)
따라서 보안 업데이트는 설치하지 않고 그대로 두는 것이 좋을 것 같습니다.
즉 해당 CVE-2025–21204 심볼릭 링크 취약점에 대한 Microsoft 보안 업데이트 는 또 다른 심볼릭 링크 취약점이 됩니다.
수정 사항이 Windows 서비스 스택에 서비스 거부 취약점을 발생시켜 관리자가 아닌 사용자가 앞으로 모든 Windows 보안 업데이트를 중지할 수 있는 것을 발견된 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| SKT 해킹 실제 악성코드 사용? 중국 해커의 리눅스 백도어 BPFDoor 분석 (0) | 2025.04.30 |
|---|---|
| 윈도우 11 보안 기능 VBS Enclaves가 일부 시스템에서 더 이상 사용되지 않음 (1) | 2025.04.28 |
| SKT 통신사 해킹 파일 관련 dbus-srv-bin.txt 주요 내용 분석 (4) | 2025.04.27 |
| 대만(Taiwan)을 목표로 한것으로 추측이 되는 어느 APT 악성코드-2025416-方案1-方案細節.pdf.lnk(2025.4.19) (0) | 2025.04.27 |
| 제안서로 위장을 하고 있는 북한 코니(Konni) 에서 만든 악성코드-제안서(2025.4.11) (0) | 2025.04.24 |
| 대검찰청 사칭 보이스 피싱 사이트 분석-143(.)110(.)247(.)2260(2025.4.16) (0) | 2025.04.23 |
| 발견되지 않은 엔드포인트를 격리하여 공격을 차단하는 Microsoft Defender (0) | 2025.04.18 |
| 북한 김수키(Kimsuky)에서 만든악성코드-KxS 북한 수해 인터뷰 요청서(대문?아카데미 이?열 이사장님).lnk(2025.4.5) (0) | 2025.04.17 |
