2024-03-29 01:25 (금)
MS 엣지와 IE 브라우저, 제로데이 취약점 공개돼...주의
상태바
MS 엣지와 IE 브라우저, 제로데이 취약점 공개돼...주의
  • 길민권 기자
  • 승인 2019.04.02 03:44
이 기사를 공유합니다

해커가 생성한 악성 웹사이트를 오픈만 해도 공격 가능해

cyber-security-3480163_640.jpg
해외 보안 연구원이 패치 되지 않은 마이크로소프트의 웹 브라우저 제로데이 취약점 2개 및 PoC 익스플로잇을 공개했다. 

그는 이 취약점을 발견 후 회사에 제보했으나 응답을 받지 못해 이를 공개한다고 밝혔다.

공개한 취약점 2개 중 하나는 마이크로소프트 IE 최신 버전에서 발견되었으며, 다른 하나는 최신 엣지(Edge) 브라우저에 영향을 미친다.

공개된 두 취약점 모두 원격 공격자가 피해자 웹 브라우저의 동일 출처 정책(SOP)을 우회하도록 허용한다.

동일 출처 정책(SOP)는 최신 브라우저에 구현된 보안 기능으로, 한 출처에서 로드된 웹 페이지나 스크립트가 또 다른 출처의 리소스와 상호작용하는 것을 제한해 관련이 없는 사이트들이 서로 간섭하는 것을 막는다.

즉 사용자가 웹 브라우저를 통해 웹사이트에 방문하면, 이는 사이트가 로드된 동일한 출처 도메인에서만 데이터를 요청할 수 있다.

따라서 다른 사이트에서 사용자의 데이터를 훔치기 위해 사용자를 대신해 승인되지 않은 요청을 보내는 것을 방지한다.

이 취약점은 취약한 마이크로소프트의 웹 브라우저를 이용해 방문한 모든 도메인에 악성 웹사이트가 범용 크로스 사이트 스크립팅(UXSS: Universal Cross-Site Scripting) 공격을 허용할 수 있는 것으로 나타났다.

이 취약점을 악용하기 위해 공격자는 피해자가 해커가 생성한 악성 웹사이트를 오픈하도록 속이기만 하면 된다.

이로써 공격자는 동일한 브라우저에서 방문한 다른 사이트의 로그인 세션 및 쿠키와 같은 피해자의 민감 데이터를 훔칠 수 있게 된다.

이 문제는 리다이렉트 후 부적절하게 크로스 오리진(Cross-Origin) URL을 유출시키는 마이크로소프트의 브라우저의 리소스 타이밍 엔트리에 존재한다.

이 연구원은 10개월 전 마이크로소프트에 그가 발견한 취약점에 대해 제보했으나, 회사는 이를 무시하고 공개 직전까지도 답변을 주지 않았다고 밝혔다.

또한 아직까지 이 두 취약점은 패치 되지 않은 채 남아있는 상태다.

더해커뉴스 측은 최근 모든 패치가 완료된 윈도우10 OS 환경에서 실행되는 IE와 엣지 최신 버전으로 이 두 제로데이 취약점을 테스트 결과 작동함을 확인했다고 보도했다.

새로 발견된 이 취약점들은 작년 마이크로소프트가 IE(CVE-2018-8351)와 엣지(CVE-2018-8545)에서 패치한 취약점들과 유사하다.

이 두 제로데이 취약점의 자세한 정보 및 PoC가 공개 되었기 때문에, 해커들이 마이크로소프트 사용자들을 대상으로 이 취약점을 악용하는 데 큰 어려움이 없었을 것으로 보인다.

현재 사용자들은 해당 취약점을 이용한 공격 예방을 위해 크롬, 파이어폭스 등 이 취약점이 존재하지 않는 다른 브라우저를 사용하는 방법 뿐이다. [정보. 이스트시큐리티]


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★