2021-09-28 18:45 (화)
윈도우 지원툴서 발견된 취약점, 타깃 공격과 정보유출에 유용해
상태바
윈도우 지원툴서 발견된 취약점, 타깃 공격과 정보유출에 유용해
  • 길민권 기자
  • 승인 2018.03.22 05:13
이 기사를 공유합니다

aaaa-9.jpg
모든 윈도우 배포판에 포함 된 윈도우 원격 지원 툴이 타깃 공격에 악용될 수 있는 것으로 나타났다.

해외 한 보안연구원이 2월 이 툴에서 취약점(CVE-2018-0878)을 발견해 마이크로소프트에 지난 10월 제보했다. 이 문제를 수정한 패치는 지난 주 공개 된 2018년 3월 ‘패치 화요일’에 포함 되었다.

이 취약점은 공격자가 어떠한 파일이라도 피해자가 알지 못하는 상태에서 그의 컴퓨터에서 추출해낼 수 있도록 허용한다.

때문에 이 취약점은 데이터를 추출하기에 완벽하며 피해자의 컴퓨터에서 몰래 파일을 훔치는데 사용될 수 있다.

다행인 것은 이 취약점을 악용하려면 사회 공학적 기법을 사용해 피해자가 원격 지원 세션을 열도록 속여야 하기 때문에 대규모로 악용될 수는 없다.

윈도우 원격 지원 툴은 TeamViewer와 유사한 원격 지원 툴이다. 이 툴은 윈도우 XP 이후의 모든 버전에 번들로 포함되어 제공된다.

누군가 원격 지원 도구를 통해 도움을 요청하면, 해당 툴은 "Invitation.msrcincident"라는 파일을 생성한다.

도움을 요청한 사용자는 이 파일을 이메일이나 다른 수단을 통해 도움을 주려는 사람에게 보내야 한다. “헬퍼”는 “요청자”의 컴퓨터에 원격 데스크탑 세션으로 연결하기 위해 이 파일을 더블클릭 해야 한다.

"Invitation.msrcincident" 파일은 다양한 구성 데이터가 포함 된 XML 파일이다. 연구원은 마이크로소프트가 이 파일이 깨끗한지 확인하는 과정을 누락해 잘 알려진 XEE 익스플로잇(XML External Entity)을 해당 파일에 삽입할 수 있음을 발견했다.

피해자가 함정이 포함 된 "Invitation.msrcincident" 파일을 오픈하면, 피해자의 원격 지원 툴이 로컬 파일을 원격 서버에 업로드 하도록 속일 수 있게 된다.

공격자는 이 취약점을 로그, 백업, 데이터베이스 파일, 패스워드나 구성 정보를 포함하고 있을 수 있는 INI를 포함한 세팅 파일 등 중요한 정보가 포함 된 파일을 복구하는데 사용할 수 있다.

이스트시큐리티 측은 "마이크로소프트는 윈도우 7 및 이후 버전에 대한 패치를 발표했다. 윈도우 10에서는 구 버전 원격 지원 프로그램을 새로운 툴인 ‘빠른 지원(Quick Assist)’로 변경했다"며 "이 툴은 초대 파일 대신 초대 코드를 사용하므로 해당 공격에 취약하지 않는다"고 설명했다.

★정보보안 대표 미디어 데일리시큐!★