Home > 전체기사
MS, 팀즈에서 발견된 위험한 취약점에 대한 패치 발표
  |  입력 : 2020-04-28 12:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
악성 GIF을 팀즈 통해 공유함으로써 익스플로잇 가능한 취약점...각종 정보 위험
공격자들에게 큰 관심 있는 취약점일 수밖에 없어...빠른 패치 적용 필수


[보안뉴스 문가용 기자] 마이크로소프트가 자사의 협업 플랫폼인 팀즈(Teams)에서 발견된 취약점을 패치했다. 악성 GIF 파일을 하나로 한 조직 내 모든 팀즈 계정들을 장악할 수 있게 해주는 위험한 취약점이었다고 한다. 코로나19 사태로 재택 근무자가 늘어나면서, 각종 협업 플랫폼을 노리는 공격자들에게 크나큰 호재가 될 뻔했다.

[이미지 = iclickart]


이 취약점을 발견한 건 보안 업체 사이버아크(CyberArk)다. 사용자들이 팀즈를 통해 이미지를 공유하거나 열람할 때 거쳐야 하는 인증 과정 중, 정보가 처리되는 부분에서부터 비롯된다고 한다. 공격자들이 겉으로 보기에는 정상적이지만 실상은 그렇지 않은 GIF 이미지들을 팀즈를 통해 공유함으로써 취약점 익스플로잇이 가능하다.

사이버아크의 보안 전문가인 오머 차르파티(Omer Tsarfati)는 취약점에 대해 “여러 가지 요인이 복합적으로 얽혀서 발동한다”고 설명한다. “첫 번째 요인은 사용자들이 팀즈를 실행할 때마다 팀즈가 authtoken이라는 쿠키를 생성한다는 겁니다. 이 쿠키에는 접근 토큰이 내포되어 있는데, 이 접근 토큰은 조직의 teams.Microsoft.com 도메인이나 그 밑의 서브도메인들에 전송됩니다.” 사이버아크는 조사를 통해 teams.Microsoft.com에 두 개의 서브도메인이 있는 것을 알아냈다. 즉, 공격자가 이 접근 토큰을 통해 두 개의 서브도메인으로 위장할 수 있다는 것이다.

“만약 공격자가 스스로 서브도메인인 척 위장하고, 피해자를 꼬드겨 이 서브도메인으로 연결되어 있는 링크를 클릭하도록 만든다면, 피해자의 authtoken이 이 서브도메인으로 전송됩니다. 공격자에게 접근 토큰이 넘어간다는 겁니다. 공격자는 이를 사용해 stkypetoken이라는 또 다른 토큰을 생성할 수 있게 됩니다. 두 가지 토큰을 손에 쥐게 된 공격자들은 피해자의 팀즈 데이터에 자유롭게 접근할 수 있게 됩니다.”

이 취약점이 가진 특히나 흥미로운 점은, 사용자 입장에서 자신에게 전송되는 GIF 파일을 보는 것만으로 피해자가 된다는 것이다. “물론 GIF를 보내기 위해서 공격자는 팀즈의 또 다른 아이덴티티를 먼저 훔쳐내야 하겠죠. 그런 후에는 공격 표적이 된 자에게 GIF를 보냄으로써 사실상 팀즈에 연결된 모든 조직원들을 침해할 수 있게 됩니다. 전제조건이 성립되어야 하지만, 그것이 크게 어려운 것이 아니고, 그 후 공격을 이어가는 게 매우 쉽고 폭발적이라는 게 이 취약점의 특징입니다.” 차르파티의 설명이다.

최악의 경우 공격자는 과거에 전송됐던 모든 메시지들까지 열람할 수 있게 된다. 뿐만 아니라 캘린더로 들어가 스케줄을 확인하고, 각종 팀즈 세션에 참가하는 것도 가능하다. 심지어 조직원인 것처럼 위장한 후 팀즈를 통해 여러 가지 정보를 캐묻는 것도 가능하다.

최근 사이버 공격자들은 팀즈, 줌, 슬랙과 같은 온라인 협업 플랫폼에 큰 관심을 보이고 있다. 코로나로 인해 많은 사람들이 집에서 근무를 시작했기 때문이다. 차르파티는 “이렇게 원격 통신에 대한 의존도가 높은 때라면 보안이 허술해지는 게 맞다”며 “사무실이 아닌 공간과 익숙치 않은 IT 인프라에서 보안 실천 사항을 철저하게 지키는 것도 어렵고, 기존 보안 실천 사항으로 채워지지 않는 면이 있기 때문”이라고 설명한다.

그러면서 차르파티는 “마이크로소프트의 팀즈를 사용하는 조직이라면 뜬금없는 GIF 파일이 전송되는 것에 대해 경계해야 할 것”이라고 권고했다. “또한 비밀번호나 회사 기밀처럼 민감한 정보는 아무리 협업 플랫폼이라고 하더라도 대놓고 이야기 하지 않는 것이 좋습니다. 현존하는 모든 협업 플랫폼들에 크고 작은 보안 구멍이 있다고 상정해야 합니다. 완전히 안전한 공간은 없습니다.”

사이버아크에 의하면 마이크로소프트는 위에 설명된 서브도메인 장악 문제를, 취약점 보고가 들어간 지 하루 만에 해결했다고 한다. 사이버아크는 개념증명용 익스플로잇 영상(https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/, https://cyberark.wistia.com/medias/f4b25lcyzm)을 공개하기도 했다.

3줄 요약
1. 마이크로소프트의 협업 플랫폼인 팀즈에서 위험한 취약점 발견됨.
2. GIF 파일을 팀즈 통해 공유함으로써 익스플로잇 할 수 있음.
3. 조직 내 모든 팀즈 사용자의 정보를 열람하고 빼돌릴 수 있게 해주는 취약점.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)