2024-03-29 01:45 (금)
마이크로소프트, 개인키 유출 앱에 대해 경고
상태바
마이크로소프트, 개인키 유출 앱에 대해 경고
  • 페소아 기자
  • 승인 2018.11.28 17:36
이 기사를 공유합니다

chain-4.jpg
마이크로소프트는 오늘 두 응용프로그램이 두 개의 루트 인증서를 사용자 컴퓨터에 설치했고, 모든 사용자의 개인키가 유출되었다고 경고했다. 이 실수를 이용하면 악의적인 타사가 두 응용프로그램의 개인 키를 추출해 합법적인 웹사이트 및 소프트웨어 게시자를 위조하기 위해 위조된 인증서를 발행하는데 사용할 수 있다.

두 개의 응용프로그램은 HeadSetup과 HeadSetup Pro이며 둘 다 독일 소프트웨어 개발사인 Sennheiser이 개발했다. 이 소프트웨어는 실제 전화가 필요없이 컴퓨터를 통해 인터넷으로 전화를 걸기 위한 소프트웨어 설정 및 관리도구다.

독일의 사이버 보안회사인 Secorvo는 이 프로그램의 버전 7.3, 7.4 및 8.0에서 두 개의 루트인증기관 인증서를 사용자의 컴퓨터에 신뢰할 수 있는 루트 인증서 저장소에 설치했고, 모든 SennComCCKey.pem 파일에 개인키가 포함되어 있음을 발견했다. 맥 사용자의 경우 HeadSetup MacOS 응용프로그램 버전을 통해 설치되며, 현재 HeadSetup 업데이트 또는 제거 작업으로는 운영체제의 신뢰할 수 있는 루트 인증서 저장소에서 제거되지 않는다.

오늘 발표된 보고서에는 공격자가 두 앱의 설치프로그램을 분석해 개인키를 추출하는 것이 얼마나 간단한지 보여주는 개념증명 코드가 포함되어 있다. 연구원에 따르면 사용자가 수동으로 신뢰된 루트 인증서 저장소를 확인하여 두개의 인증서를 삭제하거나 인증서 기간이 만료될 때까지는 “HeadSetup이 설치되었던 모든 시스템은 취약하다”고 할 수 있다. 참고로 인증서의 만료일은 2037년 1월 13일 또는 7월 27일이다.

Sennheiser는 이번 주말에 릴리즈될 예정이었던 업데이트를 진행하면서 실수를 인정하고 웹사이트에서 두개의 앱을 삭제했다. 이 회사는 HeadSetup이 영향받는 시스템에서 루트 인증서를 검색하고 제거하며 각각의 개인키를 유출하지 않는 새로운 인증서로 대체할 것이라고 설명했다. HeadSetup 소프트웨어를 설치한 고객은 업데이트가 제공되면 앱을 업데이트해야 한다. 소프트웨어를 설치되지 않은 사용자는 특별한 조처를 취할 필요는 없지만, 여전히 공격에 취약한 상태이다.

마이크로소프트는 회사의 인증서 신뢰 목록(CTL)을 업데이트해 세가지 인증서에서 사용자 모드 신뢰를 제거했다. 즉, 위의 세가지 루트 인증서를 사용해 생성된 위조 인증서로 서명된 웹사이트 또는 소프트웨어는 윈도우 사용자에게 오류를 유발할 것이다.

Sennheiser가 문제되는 인증서를 제거하는 HeadSetup 업데이트를 배포할 때까지 기다릴 여유가 없는 사용자는 Secorvo 보고서의 섹션 7.2에서 윈도우 신뢰할 수 있는 루트인증서 저장소에서 인증서를 수동으로 제거하는 방법을 확인할 수 있다. Sennheiser는 윈도우즈 및 맥 운영체제 사용자를 위한 세가지 인증서를 제거하는 방법에 대해서도 게시했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★