Home > 전체기사
구글 크롬에서 발견된 UaF 취약점, 공격자들이 사용하고 있다
  |  입력 : 2019-03-07 10:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2019-5786, 파일리더 API에서 발견된 UaF 취약점
임의의 코드를 실행시킬 수 있게 해줌...다양한 공격 가능해


[보안뉴스 문가용 기자] 구글이 지난 주 패치한 크롬 취약점이 이미 사이버 공격자들의 손에서 악용되고 있다는 소식이다. 이는 CVE-2019-5786으로, 고위험군에 속하며, 웹 앱들이 컴퓨터에 저장된 파일의 콘텐츠를 읽을 수 있도록 해주는 API인 파일리더(FileReader)에서 발견됐다. 일종의 UaF 취약점이다.

[이미지 = iclickart]


지난 2월 취약점을 처음 발견한 건 구글의 위협 분석 그룹(Threat Analysis Group)의 클레멘트 르사인(Clement Lecigne)이라는 보안 전문가다. 이를 보고 받은 구글은 3월 1일에 윈도우, 맥, 리눅스용 크롬 72.0.3626.121 버전을 발표하며 취약점을 패치했다.

그런데 이번 주 화요일 구글은 해당 취약점에 대한 익스플로잇이 이미 존재할 뿐만 아니라 해커들이 사용 중에 있다는 걸 확인했다고 발표했다. 구글 보안 팀은 트위터를 통해 크롬 사용자들에게 “최대한 빨리 크롬을 업데이트 하라”고 권고했다.

“구글은 CVE-2019-5786 취약점에 대한 익스플로잇이 이미 존재하고 있으며, 사이버 범죄자들의 실제 공격에 활용되고 있다는 걸 인지하고 있습니다.” 구글은 화요일 발표된 업데이트 권고문을 통해 이와 같이 밝혔다.

이 취약점은 특수하게 조작된 웹 페이지로 사용자를 강제 우회시킬 때 발동되며, 공격자의 임의 코드 실행을 가능하게 만들어준다고 인터넷보안센터(Center for Internet Security, CIS)는 권고문을 통해 설명했다.

“이 취약점을 성공적으로 익스플로잇 하면, 공격자가 임의의 코드를 브라우저 컨텍스트에서 실행할 수 있게 됩니다. 애플리케이션의 권한에 따라 조금씩 달라지긴 하지만, 공격자가 프로그램을 설치하거나, 데이터를 열람, 조작, 삭제할 수 있게 됩니다. 심지어 권한이 높은 사용자 계정을 새로 만드는 것도 가능하게 됩니다.”

지난 주 익스플로잇 탐지 서비스인 엣지스폿(EdgeSpot)은 “크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있는 걸 발견했다”고 발표했다. 엣지스폿은 해당 문서가 최소 12월부터 돌아다니기 시작했지만 아직 픽스가 공개되지 않은 상태라고도 덧붙였다.

게다가 크롬은 PDF 파일들이 정보를 전송할 때 사용자들에게 특별히 경고를 하거나 알리지 않아서 문제가 더 커진다. 일부 보안 전문가들은 “그렇기 때문에(크롬이 사용자에게 알리지 않는 특성 때문에) 발생하는 문제이지, 제로데이라는 이름은 적절치 않다”는 의견을 내비치기도 했다.

한편 PDF 파일을 통해 사용자 데이터를 수집할 수 있게 해주는 취약점이 각종 PDF 파일 뷰어 프로그램에서 발견되기도 했다. 이에 어도비는 리더(Reader)의 패치를 발표한 바 있다.

3줄 요약
1. 구글 크롬에서 발견된 CVE-2019-5786은 UaF 취약점. 익스플로잇이 돌아다니고 있음.
2. 사용자를 특수하게 조작된 웹사이트로 우회시켜, 임의 명령을 실행시킬 수 있게 해줌.
3. 최신 크롬 업데이트를 적용해야만 공격을 받지 않을 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)