DEEP DIVE REPORT

CVE-2023-36424] Microsoft Windows Out-of-Bounds Read Vulnerability

SecurityDesk
2026.04.17 조회 11

취약점 개요

CVE-2023-36424는 Microsoft Windows Common Log File System (CLFS) 드라이버의 Out-of-Bounds Read 취약점이다. 공격자가 이 취약점을 악용하면 권한 상승(Privilege Escalation)이 가능하다. 로컬 시스템 접근 권한이 있는 공격자만 악용 가능하며, 공격 복잡도가 낮아 위험도가 매우 높다. CISA KEV 카탈로그에 등재되어 있어 즉각적인 패치가 필요하다.

CVSS 점수

CVSS v3.1 기준 베이스 점수는 7.8(High)이다.

  • Attack Vector (AV): Local - 공격자가 로컬 시스템에서 취약점 악용 가능
  • Attack Complexity (AC): Low - 낮은 복잡도로 악용 가능
  • Privileges Required (PR): Low - 낮은 권한 필요
  • User Interaction (UI): None - 사용자 상호작용 불필요
  • Confidentiality Impact (C): High - 기밀성에 높은 영향
  • Integrity Impact (I): High - 무결성에 높은 영향
  • Availability Impact (A): High - 가용성에 높은 영향

CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

위험 평가 근거:
- CVSS Base Score: 7.8/10 (NVD 공식, HIGH 등급)
- CISA KEV 카탈로그 등재 (2026-04-13): 실제 악용 활성화로 인한 위험도 상향
- NVD 심각도: HIGH (7.8점 기준)

영향받는 버전

Windows 10

  • Windows 10 Version 1507 (10.0.10240.0)
  • Windows 10 Version 1607 (10.0.14393.0)
  • Windows 10 Version 1809 (10.0.17763.0)
  • Windows 10 Version 21H2 (10.0.19043.0)
  • Windows 10 Version 22H2 (10.0.19045.0)

Windows 11

  • Windows 11 Version 21H2 (10.0.22000.0)
  • Windows 11 Version 22H2 (10.0.22621.0)
  • Windows 11 Version 23H2 (10.0.22631.0)

Windows Server

  • Windows Server 2008 R2 SP1 (6.1.7601.0)
  • Windows Server 2012 (6.2.9200.0)
  • Windows Server 2012 R2 (6.3.9600.0)
  • Windows Server 2016 (10.0.14393.0)
  • Windows Server 2019 (10.0.17763.0)
  • Windows Server 2022 (10.0.20348.0)
  • Windows Server 2022 23H2 Edition (Server Core) (10.0.25398.0)

Server Core Installations

  • Windows Server 2008 R2 SP1 (Server Core)
  • Windows Server 2012 (Server Core)
  • Windows Server 2012 R2 (Server Core)
  • Windows Server 2016 (Server Core)
  • Windows Server 2019 (Server Core)
  • Windows Server 2022 (Server Core)

기술적 세부사항

취약점 유형

Out-of-Bounds Read (CWE-125)

영향받는 컴포넌트

Windows Common Log File System (CLFS) Driver (clfs.sys)

원인 분석

Common Log File System (CLFS)는 Windows에서 트랜잭션 로깅을 담당하는 커널 모드 드라이버이다. 트랜잭션 로그 파일 관리, 로그 레코드의 안정적인 기록, 시스템 복구 및 롤백 메커니즘을 지원한다. CVE-2023-36424는 CLFS 드라이버가 로그 파일을 처리할 때 배열 범위를 벗어난 메모리 영역을 읽는 것(Out-of-Bounds Read)을 방지하지 못하는 취약점이다.

공격 시나리오

  1. 공격자가 낮은 권한의 사용자로 시스템에 접근
  2. 특수하게 조작된 CLFS 로그 파일 데이터 생성
  3. 악의적인 로그 데이터로 CLFS 드라이버 트리거
  4. 드라이버가 할당된 버퍼 외부 메모리 읽기 시도
  5. 커널 메모리 내의 민감 정보 유출 가능
  6. 유출된 메모리 정보를 사용하여 권한 상승 공격 가능

영향 평가

  • 기밀성: 커널 메모리 내 민감 정보 유출 가능 (HIGH)
  • 무결성: 권한 상승을 통한 간접적 영향 가능 (HIGH)
  • 가용성: 드라이버 충돌로 시스템 다운 가능 (HIGH)
  • 권한 상승: 권한 상승 가능성 존재

악용 가능성 평가

출처: CISA KEV 카탈로그 (2026-04-13 등재)

CISA KEV 카탈로그 등재는 실제 악용 활성화를 의미하며, 이로 인해 이론적인 CVSS 점수보다 실제 위험도가 상향 평가된다.

악용 가능성 요소

  • 공격 복잡도가 낮아 비교적 쉽게 악용 가능
  • 로컬 시스템에서만 악용 가능 (공격자가 이미 시스템 접근 권한 필요)
  • 낮은 권한만 필요
  • 사용자 개입 없이 자동화된 공격 가능

위협 정보

  • CISA KEV Catalog: 2026-04-13 등재 (실제 악용 활성화)
  • Action Required: Apply mitigations per vendor instructions
  • Due Date: 2026-04-27
  • Ransomware Usage: Unknown

위험 등급

CVSS Base Score 7.8(High), CISA KEV 등재(실제 악용 활성화)로 인해 최종 위험 등급은 HIGH이다.

우선순위 점수: 78/100 (CVSS 7.8점 기준)

조치 시기
- 즉시 (24h): 패치 우선순위 최상위 지정
- 7일 이내: 모든 시스템에 패치 적용 완료
- 2026-04-27까지: CISA KEV 요구사항 준수 필수

패치 및 완화 조치

패치 정보

  • 패치 가능: Yes
  • 벤더: Microsoft
  • 패치 릴리스: 2023년 12월 보안 업데이트
  • KB Article: Microsoft Security Update (KB5034439 포함)
  • 벤더 권고사항: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36424

패치 배포 가이드

스테이징 환경 테스트

  • 대표적인 Windows 버전에 패치 테스트
  • CLFS 기반 응용 프로그램 기능 테스트
  • 트랜잭션 로깅 기능 검증
  • 성능 영향 모니터링

롤백 계획

  • 시스템 복구 포인트 생성
  • 현재 드라이버 버전 백업
  • 롤백 절차 문서화

프로덕션 배포

  • Phase 1 (24-48h): 인터넷 노출 Windows 시스템, Active Directory 컨트롤러, 중요 서버
  • Phase 2 (3-5 days): 내부 워크스테이션, 비필수 서버
  • Phase 3 (7-14 days): 레거시 Windows 버전, 주기적 유지보수 대상 시스템

유지보수 기간

  • 패치 적용 전 서비스 백업
  • 유지보수 기간 동안 사용자 알림
  • 사후 24시간 모니터링

완화 조치 (패치 불가 시)

네트워크 제어

  • 인터넷 노출 Windows 시스템에 대한 IPS/WAF 규칙 강화
  • 포트 제어 및 방화벽 규칙 검토

시스템 하드닝

  • CLFS 드라이버 사용 최소화
  • 불필요한 트랜잭션 로깅 서비스 비활성화
  • 사용자 권한 최소 원칙 적용

모니터링

  • 이상적인 로그 파일 접근 시도 모니터링
  • 커널 모드 드라이버 동작 모니터링
  • 이벤트 로그 분석 (ID: 41, 6008 등 시스템 충돌 이벤트)

엔터프라이즈 고려사항

컴플라이언스 영향

  • CISA KEV: 패치 적용 또는 완화 조치 필수 (2026-04-27까지)
  • CJIS: 30일 이내 패치 적용 (2026-05-16까지)
  • PCI-DSS: 높은 심각도 취약점 패치 (30일 이내)
  • HIPAA: 데이터 유출 위험 완화 (60일 이내)

SLA 고려사항

  • Availability: 패치 적용으로 인한 서비스 중단 최소화 필요
  • Service Window: 비즈니스 시간 외 유지보수 권장
  • Rollback Time: 패치 실패 시 1시간 이내 복구 가능하도록 준비

레거시 시스템

Windows Server 2008 R2/2012는 Extended Security Updates (ESU) 확인이 필요하다. 패치가 제공되지 않는 경우 마이그레이션 계획을 수립하고 가상화 및 네트워크 세그먼트 분리를 강화한다.

참고문헌

  • NVD (National Vulnerability Database): https://nvd.nist.gov/vuln/detail/CVE-2023-36424
  • Microsoft Security Response Center: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36424
  • CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-36424
  • AttackerKB: https://attackerkb.com/topics/NwYM528aP6/cve-2023-36424
  • CWE-125: https://cwe.mitre.org/data/definitions/125.html

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9