Home > 전체기사

애플, 맥OS의 파인더에서 발견된 제로데이 몰래 패치하려 했지만

  |  입력 : 2021-09-23 15:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플의 맥OS에서 어쩌면 가장 중요한 앱인 파인더에서 제로데이가 발견됐다. 사용자 몰래 임의의 공격을 가능하게 해 주는 취약점이라고 한다. 애플은 잠수함 패치로 이를 해결하려 했지만 실패했다. 공격은 여전히 가능하다.

[보안뉴스 문가용 기자] 애플 맥OS 파인더(Finder) 시스템에서 제로데이 취약점이 발견됐다. 익스플로잇에 성공할 경우 원격의 공격자가 임의의 명령을 실행시킬 수 있게 된다고 한다. 이 때문에 애플은 ‘잠수함 패치’를 진행했는데, 문제를 해결하지 못했다. 파인더는 애플의 파일 관리자 프로그램이며, 모든 매킨토시 시스템에서 디폴트로 사용된다. 모든 앱과 파일이 파인더를 통해 관리된다고 보면 된다.

[이미지 = utoimage]


취약점이 드러난 곳은 맥OS 파인더가 .Inetloc 파일들을 처리하는 방식에서다. .Inetloc 파일은 애플 생태계에만 있는 파일로, 인터넷 특정 주소로의 ‘단축 경로’를 저장한다. 윈도의 ‘바로가기’ 파일과 비슷하다고 볼 수 있다. file:// 형태로 주소를 입력할 경우 로컬에 저장된 파일들에도 접근할 수 있다.

문제는 바로 이 file:// 포맷의 입력이 가능하다는 점에 기인하여 나타난다. 이 때 피해자에게 확인을 다시 한 번 받거나 하지 않는다. 즉 특정 명령의 경우 맥OS가 사용자의 확인 없이 자동으로 처리한다는 뜻이 된다. 이를 이용할 경우 공격자가 로컬 시스템에서 피해자 몰래 임의의 명령을 실행할 수 있게 된다.

공격 시나리오는 다음과 같다.
1) 공격자들이 .Inetloc 파일들을 특별한 방식으로 조작한다.
2) 조작하면서 임베드 된 명령어들을 삽입시킨다.
3) 조작을 마친 후에는 파일을 악성 메일이나 링크에 첨부시킨다.
4) 소셜 엔지니어링 공격을 통해 사용자가 메일을 열거나 링크를 클릭하도록 한다.
5) 피해자가 속아서 메일 열기나 링크 클릭을 할 경우 명령어가 자동으로 실행된다.
6) 명령어가 실행되더라도 피해자는 알아차리지 못한다.

이 공격의 시연은 여기(https://ssd-disclosure.com/ssd-advisory-macos-finder-rce/)서 열람이 가능하다. 맥OS 빅서 버전은 물론 그 전에 나온 모든 맥OS에서 발견되는 취약점이라고 한다. 이를 처음 발견한 건 보안 전문가 박민찬이라고 알려져 있다. 하지만 애플은 이 취약점에 CVE 번호를 부여하지 않고 ‘잠수함 패치’를 진행했다. 고쳐만 졌다면야 아무 문제가 없었겠지만 이 은밀한 패치는 통하지 않았다.

관련하여 보안 권고문을 발표한 SSD에 의하면 “애플이 file://[함수]를 조용히 패치했다고 하는데, 아직도 익스플로잇이 가능하다”고 한다. “예를 들어 파일 실행 경로에 FiLe://이라고 적으면 여전히 예전처럼 익스플로잇이 작동합니다. 애플이 대소문자를 구분했기 때문에 나타난 현상입니다. 맥OS가 보기에 File://과 file://이 다른 것입니다. 이런 상태로 file://[함수]만 막으니 공격이 여전히 유효한 것이고요.” 이러한 상황에 대해 애플은 아직까지 공식 입장을 발표하지 않고 있다. 취약점은 여전히 익스플로잇이 가능한 상태라고 SSD는 설명하고 있다.

애플 생태계에서는 올해 적잖은 제로데이 취약점이 발견됐다. 지난 5월에는 맥OS에서 타인의 스크린샷을 남길 수 있는 치명적 위험도의 취약점이 발견돼 패치되기도 했었다. 7월에는 iOS와 맥OS 플랫폼에서 발견된 제로데이 취약점이 공격자들에 의해 먼저 발견되고, 뒤늦게 애플에 의해 패치되기도 했었다. 이번 달에는 NSO그룹(NSO Group)이 스파이웨어를 심는 데 활용하고 있던 포스드엔트리(ForcedEntry) 제로데이 취약점이 패치됐다.

3줄 요약
1. 애플 맥OS 모든 버전에서 발견된 파인더 관련 취약점, 몰래 패치됨.
2. 하지만 패치가 통하지 않아 아직도 취약점 익스플로잇이 가능한 상황.
3. 패치가 안 통하는 이유는 애플의 OS가 대소문자를 구분하고 있기 때문.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)