2024-03-28 18:30 (목)
크롬 사용하는 윈도우 PC 해킹공격 가능…윈도우10도 위험
상태바
크롬 사용하는 윈도우 PC 해킹공격 가능…윈도우10도 위험
  • 페소아 기자
  • 승인 2017.05.23 10:27
이 기사를 공유합니다

“완전히 업데이트된 크롬과 윈도우 사용하더라도 공격 및 정보유출 가능해”

hac-1.jpg
크롬 브라우저를 사용하는 윈도우 PC를 대상으로 악성파일을 자동 설치/실행해 암호를 탈취할 수 있는 취약점이 공개되었다. 이 취약점은 최신 버전의 ‘윈도우10’에서 동작하는 최신 크롬 브라우저 역시 취약한 것으로 드러났다.

DefeseCode의 연구원 Bosko Stankovic은 크롬 브라우저를 이용해 SCF(Windows 탐색기 쉘 커맨드 파일)을 다운받을 때 발생하는 취약점을 이용, 정보 탈취가 가능한 취약점을 발견했다고 밝혔다.

공격자는 SCF파일을 이용해 공격자가 컨트롤하는 원격 SMB서버에 인증접속을 하게 만들어, 사용자의 NTLMv2 패스워드 해쉬를 탈취할 수 있다. 탈취된 해쉬는 오프라인에서 해독하거나 Microsoft Exchange같은 같은 NTLM기반 인증을 사용하는 서비스에서 피해자로 위장하는데 사용될 수 있다.

Stanovic은 "사용자가 완전히 업데이트된 크롬과 윈도우를 사용하더라도 공격자는 공격을 위해서 단지 피해자를 사용자의 인증정보를 사용하는 웹사이트를 방문하게 유인하기만 하면 된다"며 "심지어 피해자가 권한있는 사용자가 아니더라도 취약점은 공격자가 조직의 멤버로 가장할 수 있기 때문에 큰 조직에게 중요한 위협이 될 수 있다"고 덧붙였다.

공격은 크롬과 윈도우가 SCF파일을 처리하는 부분에서 발생한다. 크롬에서는 LNK파일에 대해는 .download 확장프로그램을 이용해 LNK파일을 삭제해 보안을 유지하나 SCF파일에 대해서는 그렇지 않다. 크롬은 스턱스넷 공격에서 LNK파일이 이용된 후 LNK파일에 대한 보안기능을 탑재했었다.

크롬의 두번째 문제는 SCF파일 다운로드가 윈도우즈의 기본 행동이라는 것이다. Stanovic이 지적하듯 크롬은 해당 파일을 안전하다고 판단하고 자동으로 다운받는다. Windows 파일 탐색기가 다운로드된 디렉토리를 열 때 악성 SCF파일을 이용해 공격자의 SMB서버에 인증을 요청하게 만들 수 있다.

다운로드된 파일을 클릭하거나 열 필요가 없다. Windows 파일탐색기가 자동으로 'icon'을 받아오려 할 것이라고 연구원은 말한다.

그는 또 몇몇 안티바이러스 제품들을 테스트했고 해당 제품들은 SCF파일을 악성이라고 판단하지 못했다고 밝혔다.

크롬 사용자들은 설정에서 자동다운로드를 비활성화시킴으로써 공격을 막을 수 있다. Stankovic은 또한 개인 네트워크로의 SMB트래픽을 제한하는 것과 악성 SMB서버로의 연결에 사용되는 포트를 막도록 방화벽을 설정하는 것을 권고했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★