2024-03-28 20:55 (목)
엣지 브라우저 원격 코드 실행 취약점 PoC 코드 공개돼
상태바
엣지 브라우저 원격 코드 실행 취약점 PoC 코드 공개돼
  • hsk 기자
  • 승인 2018.10.15 08:52
이 기사를 공유합니다

윈도 셸이 부적절하게 URI 처리시 발생...윈도 서버 2016, 윈도 10, 윈도 10 서버에 영향

code-820275_640.jpg
마이크로소프트가 2018년 10월 패치튜스데이를 통해 MS제품에 존재하는 50개 취약점에 대한 패치를 공개했다. 50개 중 12개는 심각한 수준의 취약점으로 분류되었고, 이 중 하나는 CVE-2018-8495로 추적되는 엣지 브라우저의 원격 코드 실행 취약점이다.

이 원격 코드 실행 취약점은 ‘윈도우 셸 원격 코드 실행 취약점’으로 불리며, 윈도우 셸이 부적절하게 URI를 처리할 때 발생한다. 윈도우 서버 2016, 윈도우 10, 윈도우 10 서버에 영향을 미친다.

해당 결함을 발견한 보안 연구원 Abdulrahman Al-Qabandi는 ‘mail-to:test@test.test와 같은 url을 클릭해 브라우저에서 기본 메일 클라이언트를 시작시킬 수 있는 방법을 조사하고 있었다.

엣지 브라우저에서 한번 링크를 클릭하면, 응용 프로그램을 전환할지 묻는 메시지가 사용자에게 표시된다. 그는 엣지의mailto URI 스키마에 대한 간단한 응답을 조사하며 아웃룩이 특정 파라미터로 시작한다는 것을 알아냈다.

전문가는 윈도우 레지스트리에서 사용자 정의 명령을 수락한 실행 파일들을 조사하여, 여러 언어로 실행되는 윈도우 스크립트 호스트(WScript.exe)를 발견했다.

그는 “윈도우 스크립트 호스트는 작업을 수행하기 위해 다양한 오브젝트 모델을 사용하는, 여러 언어의 스크립트를 실행할 수 있는 사용자 환경을 제공한다. 만약 사용자가 엣지에서wshfile:test로 이동한다면 어떤 일이 발생하는지 살펴보자”고 설명했다.

이 전문가는 엣지에서 URI 스키마 wshfile:test를 테스트 했고, 운영체제는 사용자에게 해당 프로시저를 처리할 애플리케이션과 기본 처리기인 윈도우 스크립트 호스트를 물어보았다.

Al-Qabandi는 ‘C:WINDOWSsystem32wshfile:test’와 같이 그가 WScript.exe로 전달한 특정 패치에 존재하는 파일을 실행하려고 했지만 존재하지 않는 것으로 나타났다. 그는 이것이 윈도우 스크립트 호스트가 임의 위치에서 VBScript를 로드하는‘경로 통과 트릭’임을 발견했다.

따라서 공격자가 해당 취약점을 통해 어떤 디렉토리에 위치하는 임의 파일을 가리키고 예상할 수 있는 위치에 드롭시킬 수 있다면 RCE를 갖게 되는 것이다. 하지만 파일을 심을 수는 있지만 위치를 예측할 수는 없다.

시스템에 심어진 파일의 위치를 예측하기 위해 전문가는 윈도우 스크립트 호스트 인젝션으로 고통받는 특정 VBScript를 사용하는 방법을 보여주는 Matt Nelson의 이전 연구 결과를 활용했다. 그는 ‘SyncAppvPublishingServer.vbs.’와 같은 어떤 파라미터를 받는 모든 단일 윈도우 VBS 파일을 검색했다.

이는 파워셸을 통해 필터링하지 않고 명령을 실행할 수 있다. 파워셸은 숨김 모드에서 실행하기 때문에 사용자는 명령 결과만 볼 수 있다.

Al-Qabandi는 또한 “이 특정 스크립트는 몇가지 인수를 취하고 필터링없이 power-shell.exe셸 실행에 전달하므로 임의 명령을 삽입할 수 있다”고 덧붙였다.

그는 엣지 원격 코드 실행 취약점에 대한 PoC 스크립트를 공개했으며, ZDI 프로그램을 통해 마이크로소프트에 개인적으로 보고했다고 한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★