지난달 깃허브를 통해 공개된 MS 윈도우 ALPC LPE 제로데이 취약점을 이용한 파워풀(PowerPool) 악성코드가 심각한 위협이 되고 있다. 이 악성코드는 컴파일된 실행 버전뿐만 아니라 소스코드까지 함께 공개돼 있어 누구나 익스플로잇을 수정할 수 있어 더 많은 종류의 변종으로 악용될 가능성이 높다. 현재까지 이 취약점을 해결하기 위한 패치는 제공되지 않고 있다.
유럽 엔드포인트 보안 전문기업 이셋(ESET)에 따르면 파워풀 악성코드는 윈도우 7에서 윈도우 10 운영체제의 ALPC(Advanced Local Procedure Call) 기능에 영향을 미쳐 LPE(Local Privilege Escalation)을 허용한다. 따라서 일반 사용자가 실행한 프로세스가 관리자 권한을 획득할 수 있게 되며, 일반 사용자가 실행한 프로세스가 관리자 권한을 획득할 수 있게 된다.
이셋과 바이러스토탈 통계에 따르면 칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 우크라이나를 비롯해서 영국, 미국 등에서 이 취약점을 이용한 악성코드가 발견됐다. 이셋 제품은 해당 취약점을 이용한 악성코드와 변종을 Win32/Agent.SZS 등 Win32/Agent 그룹으로 진단한다.
김남욱 이셋코리아 대표는 “널리 사용되는 운영체제의 취약점이 계속적으로 발견되는 현실을 고려할 때 운영체제의 업데이트와 패치는 매우 중요하다. 하지만 취약점이 발견되고 이를 해결하기 위한 패치가 발표되고 사용자 시스템에 적용되기 전까지는 해당 취약점에 그대로 노출될 수 밖에 없으므로 이에 대한 대비가 필요하다”며 “성능이 검증된 엔드포인트 보안 제품을 사용하여 피해를 예방하는 것이 매우 중요하다”고 말했다.
