Home > 전체기사 > 외신
카스퍼스키, 오토데스크, 트렌드 마이크로 제품에서 취약점 발견
  |  입력 : 2019-12-04 09:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 제품들의 임의 DLL 로딩 취약점, 수주 동안 연속적으로 공개돼
세이프브리치, 연속해서 보안 제품들에서 취약점 찾아 해결


[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)의 시큐어 커넥션(Secure Connection) 제품과 트렌드 마이크로(Trend Micro)의 맥시멈 시큐리티(Maximum Security), 오토데스크(Autodesk)의 데스크톱 애플리케이션(Desktop Application)에서 DLL 프리로딩, 코드 실행, 권한 상승 취약점이 발견됐다.

보안 업체 세이프브리치(SafeBreach)에 의하면 취약점 상황은 다음과 같이 정리된다.

[이미지 = iclickart]


1) 카스퍼스키의 시큐어 커넥션 : 시큐리티 클라우드(Security Cloud), 인터넷 시큐리티(Internet Security), 안티바이러스(Anti-Virus), 토탈 시큐리티(Total Security), 카스퍼스키 프리(Kaspersky Free) 등 여러 카스퍼스키 애플리케이션들과 함께 사용되는 VPN 클라이언트로, CVE-2019-15689 취약점을 내포하고 있는 것으로 밝혀졌다. 이는 공격자가 서명되지 않은 실행파일을 임의로 실행시킬 수 있게 해주는 취약점이다.

이는 지난 수주 동안 세이프브리치가 공개한 다른 보안 업체 솔루션들의 취약점과 거의 같다. 세이프브리츠는 지난 주까지 맥아피(McAfee), 시만텍(Symantec), 어베스트(Avast), 아비라(Avira)에서 만든 솔루션들에서 권한 상승 후 임의 라이브러리 로딩 공격을 가능하게 만드는 취약점을 발견해 공개했다.

카스퍼스키의 시큐어 커넥션은 서명이 된 서비스로, 시스템 부팅 시 자동으로 시작되며, SYSTEM 권한을 가지고 있다. 또한 다량의 DLL을 로딩하려고 시도하는데, 이 DLL들 대부분 제 위치에 존재하지 않는다. 따라서 카스퍼스키 시큐어 커넥션이 검색하는 폴더에 임의의 DLL을 심을 수 있다면 공격자는 SYSTEM 권한을 가져갈 수 있게 된다.

세이프브리치는 “이 취약점이 존재하는 가장 큰 이유는, 로딩된 DLL에 대한 서명 확인을 하지 않기 때문”이라고 정리한다. “오로지 파일 이름만을 통해 DLL을 로딩합니다. 절대 경로와 같은 안전한 방법을 사용하는 게 아니라요.”

이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 악성 코드를 서명된 카스퍼스키 제품의 컨텍스트 안에서 실행시킬 수 있게 된다. 따라서 탐지도 불가능하다.

2) 오토데스크의 데스크톱 애플리케이션 역시 카스퍼스키 제품처럼 없는 DLL 파일을 로딩하려고 한다. 이 점을 악용해 임의의 DLL을 심을 수 있게 된다면 공격이 가능하다. 마찬가지로 서명된 프로세스 내에서 악성 행위를 할 수 있게 된다.

세이프브리치는 “이 경우 안전하게 DLL을 로딩하는 작동 원리가 존재하지 않기 때문에 취약점이 발생한다”고 설명한다. “여기에 인증서를 확인하지 않는다는 것도 치명적으로 작용하고 있습니다.” 이 취약점은 현재 CVE-2019-7365로 등록되어 있다.

3) 트렌드 마이크로의 맥시멈 시큐리티의 경우, 소프트웨어 자체는 SYSTEM 권한으로 실행되지만 일부 요소들이 非PPL 프로세스의 형태를 갖는다고 세이프브리치는 설명한다. 즉 경우에 따라 코드의 무결성을 확인하는 절차가 발동되지 않는다는 것이고, 이 때문에 서명되지 않은 코드를 공격자가 로딩시킬 수 있게 된다는 뜻이다.

이 취약점에는 CVE-2019-15628이라는 번호가 붙었고, “권한 상승을 쉽게 해주는 취약점”이라고 묘사된다. “일반 권한을 가진 사용자라도 쉽게 DLL 파일을 로딩해서 임의 코드 실행 공격을 할 수 있습니다. 그런 경우 방어 시스템을 우회하거나 무력화시킬 수 있게 됩니다.”

세이프브리치는 지난 7월 이 취약점들을 각 회사에 알렸고, 세 회사 모두 보고를 접수해 업데이트를 발표했다.

3줄 요약
1. 카스퍼스키의 보안 제품에서 임의 DLL 로딩 취약점 발견됨.
2. 오토데스크의 보안 제품에서도 임의 DLL 로딩 취약점 발견됨.
3. 트렌드 마이크로의 보안 제품에서 임의 코드 로딩 취약점 발견됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)