2020-09-30 11:50 (수)
PDF 파일, 윈도우 크리덴셜 탈취하는데 악용될 수 있어
상태바
PDF 파일, 윈도우 크리덴셜 탈취하는데 악용될 수 있어
  • 길민권 기자
  • 승인 2018.05.02 16:58
이 기사를 공유합니다

pdf-155498_640.png
윈도우 크리덴셜(NTLM 해시)을 훔치는데 PDF파일들이 악용될 수 있다는 연구결과가 나왔다.

파일만 오픈하면 정보를 훔칠 수 있으며 사용자가 어떤 작용을 하지 않아도 작동되는 방식이라 위험하다.

해외 보안연구원은 악성 공격자가 PDF 표준에서 발견 된 이 기능을 윈도우가 사용자 크리덴셜을 저장하는 NTLM 해시를 훔치는 방법을 보여주는 연구를 발표했다.

연구원들은 이 공격으로 GoToE & GoToR 엔트리를 위한 원격 컨텐츠 로딩도 허용하게 될 수 있다고 설명했다.

이 취약점을 발견한 바하라브는 연구를 위해 두 가지 PDF 기능을 활용하는 PDF 문서를 생성했다.

누군가 이 파일을 열면, 이는 자동으로 원격 악성 SMB 서버로 요청을 보낸다. 모든 SMB 요청은 인증 목적으로 NTLM해시를 포함하도록 설계 되어 있다. 이 NTLM 해시는 원격 SMB 서버의 로그에 기록 된다. 이 해시를 해킹해 오리지널 패스워드를 복구해낼 수 있는 툴이 있다.

이런 방식의 공격은 전혀 새로운 것이 아니며, 과거에는 오피스 문서, 아웃룩, 브라우저, 윈도우 바로가기 파일, 공유 폴더, 기타 윈도우 OS의 내부 기능에서 SMB 요청을 시작하는 방식으로 실행 되었다.

해당 연구원은 이 공격을 어도비 아크로뱃과 FoxIT 리더로 테스트했다고 밝혔다.

Baharav는 “우리는 인기있는 PDF 리더 두 개를 테스트하기로 결정했다. 다른 리더들도 마찬가지로 취약할 것이라 추측한다. 우리는 어도비와 폭스아이티에 이 문제에 대해 알려 90일 공개 정책을 따랐다”라고 밝혔다.

FoxIT는 아직까지 답변이 없었으며, 어도비는 윈도우 OS 레벨의 완화법에 따라 소프트웨어를 수정하지 않을 예정이라 밝혔다. 어도비 엔지니어들은 2017년 10월 공개 된 마이크로소프트 보안 공지 ADV170014에 대해 언급했다.

마이크로소프트는 로컬 네트워크 밖에 위치한 서버에 보내지는 SMB 요청을 통한 NTLM 해시 도용을 막기 위해 사용자들이 윈도우 OS에서 NTLM SSO 인증을 비활성화 할 수 있는 기술적 메커니즘 및 지침을 전달하기 위해 ADV170014를 발표했다.

한편 연구원은 “가장 좋은 방법은 마이크로소프트의 보안 강화 옵션을 따르는 것이다”고 밝혔다. (정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★