[이미지 = iclickart]

1) 카스퍼스키의 시큐어 커넥션 : 시큐리티 클라우드(Security Cloud), 인터넷 시큐리티(Internet Security), 안티바이러스(Anti-Virus), 토탈 시큐리티(Total Security), 카스퍼스키 프리(Kaspersky Free) 등 여러 카스퍼스키 애플리케이션들과 함께 사용되는 VPN 클라이언트로, CVE-2019-15689 취약점을 내포하고 있는 것으로 밝혀졌다. 이는 공격자가 서명되지 않은 실행파일을 임의로 실행시킬 수 있게 해주는 취약점이다.

이는 지난 수주 동안 세이프브리치가 공개한 다른 보안 업체 솔루션들의 취약점과 거의 같다. 세이프브리츠는 지난 주까지 맥아피(McAfee), 시만텍(Symantec), 어베스트(Avast), 아비라(Avira)에서 만든 솔루션들에서 권한 상승 후 임의 라이브러리 로딩 공격을 가능하게 만드는 취약점을 발견해 공개했다.

카스퍼스키의 시큐어 커넥션은 서명이 된 서비스로, 시스템 부팅 시 자동으로 시작되며, SYSTEM 권한을 가지고 있다. 또한 다량의 DLL을 로딩하려고 시도하는데, 이 DLL들 대부분 제 위치에 존재하지 않는다. 따라서 카스퍼스키 시큐어 커넥션이 검색하는 폴더에 임의의 DLL을 심을 수 있다면 공격자는 SYSTEM 권한을 가져갈 수 있게 된다.

세이프브리치는 “이 취약점이 존재하는 가장 큰 이유는, 로딩된 DLL에 대한 서명 확인을 하지 않기 때문”이라고 정리한다. “오로지 파일 이름만을 통해 DLL을 로딩합니다. 절대 경로와 같은 안전한 방법을 사용하는 게 아니라요.”

이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 악성 코드를 서명된 카스퍼스키 제품의 컨텍스트 안에서 실행시킬 수 있게 된다. 따라서 탐지도 불가능하다.

2) 오토데스크의 데스크톱 애플리케이션 역시 카스퍼스키 제품처럼 없는 DLL 파일을 로딩하려고 한다. 이 점을 악용해 임의의 DLL을 심을 수 있게 된다면 공격이 가능하다. 마찬가지로 서명된 프로세스 내에서 악성 행위를 할 수 있게 된다.

세이프브리치는 “이 경우 안전하게 DLL을 로딩하는 작동 원리가 존재하지 않기 때문에 취약점이 발생한다”고 설명한다. “여기에 인증서를 확인하지 않는다는 것도 치명적으로 작용하고 있습니다.” 이 취약점은 현재 CVE-2019-7365로 등록되어 있다.

3) 트렌드 마이크로의 맥시멈 시큐리티의 경우, 소프트웨어 자체는 SYSTEM 권한으로 실행되지만 일부 요소들이 非PPL 프로세스의 형태를 갖는다고 세이프브리치는 설명한다. 즉 경우에 따라 코드의 무결성을 확인하는 절차가 발동되지 않는다는 것이고, 이 때문에 서명되지 않은 코드를 공격자가 로딩시킬 수 있게 된다는 뜻이다.

이 취약점에는 CVE-2019-15628이라는 번호가 붙었고, “권한 상승을 쉽게 해주는 취약점”이라고 묘사된다. “일반 권한을 가진 사용자라도 쉽게 DLL 파일을 로딩해서 임의 코드 실행 공격을 할 수 있습니다. 그런 경우 방어 시스템을 우회하거나 무력화시킬 수 있게 됩니다.”

세이프브리치는 지난 7월 이 취약점들을 각 회사에 알렸고, 세 회사 모두 보고를 접수해 업데이트를 발표했다.

3줄 요약

1. 카스퍼스키의 보안 제품에서 임의 DLL 로딩 취약점 발견됨.

2. 오토데스크의 보안 제품에서도 임의 DLL 로딩 취약점 발견됨.

3. 트렌드 마이크로의 보안 제품에서 임의 코드 로딩 취약점 발견됨. 

[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84947&page=1&mkind=1&kind=1]​