공격자가 Microsoft의 MOTW(Mark of the Web) 보안 기능을 지나쳐 악성 첨부 파일과 파일을 몰래 빠져나갈 수 있도록 하는 두 가지 별도의 취약점이 서로 다른 Windows 버전에 존재합니다.
Carnegie Mellon University의 CERT Coordination Center(CERT/CC)의 전 소프트웨어 취약점 분석가인 Will Dormann에 따르면 공격자들은 두 가지 문제를 모두 적극적으로 악용하고 있으며 두 가지 버그를 발견했습니다. 그러나 지금까지 마이크로소프트는 이에 대한 수정 사항을 발표하지 않았으며 조직이 스스로를 보호할 수 있는 알려진 해결 방법이 없다고 자신의 경력 동안 수많은 제로 데이 취약점을 발견한 것으로 알려진 연구원이 말했습니다.
신뢰할 수 없는 파일에 대한 MotW 보호
MotW는 신뢰할 수 없는 출처의 파일로부터 사용자를 보호하도록 설계된 Windows 기능입니다. 마크 자체는 Windows가 첨부하는 숨겨진 태그 인터넷에서 다운로드한 파일에 MotW 태그가 있는 파일은 수행하는 작업과 기능이 제한됩니다. 예를 들어 MS Office 10부터 MotW 태그가 지정된 파일은 기본적으로 제한된 보기에서 열리고 실행 파일은 실행이 허용되기 전에 Windows Defender에서 먼저 보안 문제를 검사합니다.
현재 Analygence의 수석 취약점 분석가인 Dormann은 "Microsoft Office Protected 보기, SmartScreen, Smart App Control 및 경고 대화 상자와 같은 많은 Windows 보안 기능은 MotW의 존재에 의존하여 작동합니다."라고 말했습니다. 다크 리딩을 알려줍니다.
버그 1: MotW .ZIP 우회, 비공식 패치 포함
Dormann은 7월 XNUMX일 두 가지 MotW 우회 문제 중 첫 번째 문제를 Microsoft에 보고했습니다. 그에 따르면 Windows는 특별히 제작된 .ZIP 파일에서 추출한 파일에 MotW를 적용하지 못합니다.
".ZIP에 포함된 모든 파일은 압축을 풀 때 MOTW 표시가 포함되지 않도록 구성할 수 있습니다."라고 Dorman은 말합니다. "이를 통해 공격자는 파일이 인터넷에서 온 것이 아닌 것처럼 보이게 하는 방식으로 작동하는 파일을 가질 수 있습니다." 이것은 그들이 시스템에서 임의의 코드를 실행하도록 사용자를 속이는 것을 더 쉽게 만든다고 Dormann은 지적합니다.
Dormann은 공격자가 결함을 악용할 수 있는 방법을 제공할 수 있기 때문에 버그에 대한 세부 정보를 공유할 수 없다고 말했습니다. 그러나 그는 XP부터 모든 Windows 버전에 영향을 미친다고 말합니다. 그는 마이크로소프트로부터 소식을 듣지 못한 한 가지 이유는 마이크로소프트가 사용을 거부했다고 말한 플랫폼인 CERT의 VINCE(Vulnerability Information and Coordination Environment)를 통해 취약점이 보고되었기 때문일 것이라고 말했습니다.
"저는 XNUMX월 말부터 CERT에서 일하지 않았기 때문에 Microsoft가 XNUMX월부터 CERT에 어떤 식으로든 연락을 시도했는지는 알 수 없습니다."라고 그는 경고합니다.
Dormann은 다른 보안 연구원들이 공격자가 이 결함을 적극적으로 악용하는 것을 목격했다고 보고했습니다. 그 중 한 사람은 보안 연구원인 Kevin Beaumont이며, 전직 Microsoft 위협 인텔리전스 분석가입니다. 이번 달 초 트윗 스레드에서 Beaumont는 이 결함이 야생에서 악용되고 있다고 보고했습니다.
"이것은 틀림없다. 내가 작업한 가장 멍청한 제로데이"라고 보몬트가 말했다.
하루 후 별도의 트윗에서 Beaumont는 이 문제에 대한 탐지 지침을 발표하고 싶지만 잠재적인 여파가 우려된다고 말했습니다.
“Emotet/Qakbot 등이 그것을 찾으면 100% 대규모로 사용할 것입니다.”라고 그는 경고했습니다.
마이크로소프트는 Dormann의 보고된 취약점에 대한 의견을 구하거나 이를 해결할 계획이 있는지 여부를 묻는 두 건의 Dark Reading 요청에 응답하지 않았지만 슬로베니아에 기반을 둔 보안 회사인 Acros Security는 지난주 비공식 패치를 발표했습니다 0patch 패치 플랫폼을 통해 이 첫 번째 취약점을 해결합니다.
0patch와 Acros Security의 공동 설립자이자 CEO인 Mitja Kolsek은 Dark Reading에 대한 논평에서 Dormann이 XNUMX월에 Microsoft에 보고한 취약점을 확인할 수 있었다고 말했습니다.
“네, 알고 보면 터무니없이 뻔합니다. 그렇기 때문에 세부 사항을 밝히고 싶지 않았습니다.”라고 그는 말합니다. 그는 .ZIP 파일의 압축 해제를 수행하는 코드에 결함이 있으며 코드 패치만이 이를 고칠 수 있다고 말합니다. "해결 방법이 없습니다."라고 Kolsek은 말합니다.
Kolsek은 이 문제가 악용하기 어렵지 않다고 말하지만 취약점만으로는 성공적인 공격에 충분하지 않다고 덧붙였습니다. 성공적으로 악용하려면 공격자는 사용자가 악의적으로 제작된 .ZIP 아카이브(예: 피싱 이메일을 통해 첨부 파일로 전송되거나 USB 스틱과 같은 이동식 드라이브에서 복사)에서 파일을 열도록 유도해야 합니다.
그는 "일반적으로 MotW로 표시된 .ZIP 아카이브에서 추출한 모든 파일도 이 표시를 받으므로 열거나 실행할 때 보안 경고가 발생합니다."라고 말합니다. 그러나 이 취약점으로 인해 공격자는 확실히 보호를 우회할 수 있습니다. 그는 “우리는 완화되는 상황에 대해 알지 못한다”고 덧붙였다.
버그 2: 손상된 Authenticode 서명으로 과거 MoW 몰래
두 번째 취약점은 Authenticode 디지털 서명이 손상된 MotW 태그 파일의 처리와 관련됩니다. Authenticode는 Microsoft 코드 서명 기술입니다. 특정 소프트웨어의 게시자 ID를 인증하고 소프트웨어가 게시된 후 변조되었는지 여부를 결정합니다.
Dormann은 파일에 잘못된 형식의 Authenticode 서명이 있는 경우 Windows에서 해당 파일에 MotW가 없는 것처럼 처리된다는 사실을 발견했다고 말했습니다. 이 취약점으로 인해 Windows는 JavaScript 파일을 실행하기 전에 SmartScreen 및 기타 경고 대화 상자를 건너뜁니다.
Dormann은 "Authenticode 데이터를 처리할 때 오류가 발생하면 Windows가 '열리지 않는' 것처럼 보입니다. 실제로 MotW를 유지하고 있음에도 불구하고 Authenticode 서명 파일에 더 이상 MotW 보호를 적용하지 않을 것입니다."라고 말했습니다.
Dormann은 이 문제가 Windows Server 10의 서버 변종을 포함하여 버전 2016 이상의 모든 Windows 버전에 영향을 미치는 것으로 설명합니다. 이 취약점은 공격자가 .exe 파일과 같이 Authenticode에서 손상된 방식으로 서명할 수 있는 모든 파일에 서명할 수 있는 방법을 제공합니다. 및 JavaScript 파일 - MOTW 보호를 통과하여 몰래 빠져나가십시오.
Dormann은 이달 초 HP Threat Research 블로그를 읽은 후 이 문제에 대해 알게 되었다고 말합니다. Magniber 랜섬웨어 캠페인 결함에 대한 악용을 포함합니다.
마이크로소프트가 조치를 취하고 있는지는 불분명하지만 현재로서는 연구원들이 계속해서 경고하고 있다. Dormann은 "Microsoft로부터 공식 응답을 받지는 못했지만 동시에 저는 더 이상 CERT 직원이 아니기 때문에 Microsoft에 공식적으로 문제를 보고하지 않았습니다."라고 말했습니다. "야생에서 공격자들이 사용하는 취약점 때문에 트위터를 통해 공개적으로 발표했습니다."
