2016.5월 기준 모든 윈도우 버전에 해당되는 제로데이 취약점 익스플로잇이 러시아의 한 사이버 범죄 포럼에서 9만5천 달러에 판매되고 있다. 보안 전문가들은 이 익스플로잇이 진짜일 가능성이 크다고 보고 있다.
BuggiCorp라는 이 판매자는최신 보안 패치를 적용한 윈도우 10 머신에서 익스플로잇을 시연하는 동영상도 제공했다. 러시아어로 작 성된 판매글과 동영상을 분석한 미국 보안회사 트러스트 웨이브에 의하면 이 익스플로잇은 win32k.sys에 존재하는 제로데이 LPE(local privilege escalation) 취약점을 이용한 것으로, 윈도우 2000, XP, 윈도우 서버, 윈도우 10에 이르기까지 모든 윈도우에 적용된다고 한다.
LPE 익스플로잇은 원격지 코드 실행(RCE) 익스플로잇에 비해 중요도가 덜한 것으로 여겨지는 편이다. 하지만 이 두가지를 함께 사용하면 큰 효과를 얻을 수 있다. 예를 들어, 원격지 공격에 성공하더라도 해당 윈도우 머 신이 관리자가 아닌 일반 사용자 권한으로 사용되고 있는 경우 공격자는 파일 삭제, 수정이나 관리자, 시스템 사용자 파일 접근이 불가능하다. LPE 취약점은 사용자 권한을 커널로 변경해 관리자 권한으로 원격지 익스플로잇을 방해받지 않고 실행할 수 있는 등 거의 모든 공격에 사용 가능하다.
익스플로잇 제작자는 왜 이 취약점을 마이크로소프트에 판매하지 않았을까? 마이크로소프트는 작년 여름 EMET 우회 취약점에 대한 보상금을 5만 달러에서 10만 달러로 올렸기 때문에 그가 제시한 금액보다 더 받을 가능성이 높을텐데 말이다. Krebs on Security는 마이크로소프트 사이버보안 전략가 제프 존스는 이 익스플로잇에 관하여 마이크로소프트가 알고 있으며, 판매자 주장이 맞는지는 아직 검증되지 않았다고 전했다.
이 제로데이 익스플로잇은 위험을 무릅쓰고 구매해서 사용해 보기 전에는 진짜인지 사기인지 알 수 없겠지만 진짜일 가능성이 높다. 사이버 범죄 포럼은 평판이 특히 중요하기 때문이다. 게다가 판매자는 에스크로 결제 방식을 선택했다. 에스크로 결제는 관리자가 결제 대 금을 보관했다가 상품 설명이 맞다는 것이 증명된 후에만 지급된다.
이 포럼은 맬웨어 제작 의뢰, 익스플로잇 키트 렌달, 침입당한 웹사이트용 웹쉘 구 매, 봇넷 렌트 거래가 활발한 곳이다. 트러스트웨이브社는 제로데이 익스플로잇은 그동안 직거래나 중간 판매상을 통해 거래되어 왔지만 최근 들어 포럼에서 판매되는 등 빠르게 상품화 되고 있어 우려된다고 전했다.
판매자가 재공한 2개의 시연 동영상은 다음과 같다. 첫번째 동영상은 5월 10일 최신 보안 패 치 전체를 적용한 윈도우 10을 해킹하는 시연을 보여주고 있다. 두번째 동영상은 마이크로소프트 EMET(Enhanced Mitigation Experience Toolkit) 보호를 성공 적으로 우회하는 시연을 보여준다.