MS, 팀즈에서 발견된 위험한 취약점에 대한 패치 발표

입력 : 2020-04-28 12:36

악성 GIF을 팀즈 통해 공유함으로써 익스플로잇 가능한 취약점...각종 정보 위험
공격자들에게 큰 관심 있는 취약점일 수밖에 없어...빠른 패치 적용 필수

[보안뉴스 문가용 기자] 마이크로소프트가 자사의 협업 플랫폼인 팀즈(Teams)에서 발견된 취약점을 패치했다. 악성 GIF 파일을 하나로 한 조직 내 모든 팀즈 계정들을 장악할 수 있게 해주는 위험한 취약점이었다고 한다. 코로나19 사태로 재택 근무자가 늘어나면서, 각종 협업 플랫폼을 노리는 공격자들에게 크나큰 호재가 될 뻔했다.


이 취약점을 발견한 건 보안 업체 사이버아크(CyberArk)다. 사용자들이 팀즈를 통해 이미지를 공유하거나 열람할 때 거쳐야 하는 인증 과정 중, 정보가 처리되는 부분에서부터 비롯된다고 한다. 공격자들이 겉으로 보기에는 정상적이지만 실상은 그렇지 않은 GIF 이미지들을 팀즈를 통해 공유함으로써 취약점 익스플로잇이 가능하다.

사이버아크의 보안 전문가인 오머 차르파티(Omer Tsarfati)는 취약점에 대해 “여러 가지 요인이 복합적으로 얽혀서 발동한다”고 설명한다. “첫 번째 요인은 사용자들이 팀즈를 실행할 때마다 팀즈가 authtoken이라는 쿠키를 생성한다는 겁니다. 이 쿠키에는 접근 토큰이 내포되어 있는데, 이 접근 토큰은 조직의 teams.Microsoft.com 도메인이나 그 밑의 서브도메인들에 전송됩니다.” 사이버아크는 조사를 통해 teams.Microsoft.com에 두 개의 서브도메인이 있는 것을 알아냈다. 즉, 공격자가 이 접근 토큰을 통해 두 개의 서브도메인으로 위장할 수 있다는 것이다.

“만약 공격자가 스스로 서브도메인인 척 위장하고, 피해자를 꼬드겨 이 서브도메인으로 연결되어 있는 링크를 클릭하도록 만든다면, 피해자의 authtoken이 이 서브도메인으로 전송됩니다. 공격자에게 접근 토큰이 넘어간다는 겁니다. 공격자는 이를 사용해 stkypetoken이라는 또 다른 토큰을 생성할 수 있게 됩니다. 두 가지 토큰을 손에 쥐게 된 공격자들은 피해자의 팀즈 데이터에 자유롭게 접근할 수 있게 됩니다.”

이 취약점이 가진 특히나 흥미로운 점은, 사용자 입장에서 자신에게 전송되는 GIF 파일을 보는 것만으로 피해자가 된다는 것이다. “물론 GIF를 보내기 위해서 공격자는 팀즈의 또 다른 아이덴티티를 먼저 훔쳐내야 하겠죠. 그런 후에는 공격 표적이 된 자에게 GIF를 보냄으로써 사실상 팀즈에 연결된 모든 조직원들을 침해할 수 있게 됩니다. 전제조건이 성립되어야 하지만, 그것이 크게 어려운 것이 아니고, 그 후 공격을 이어가는 게 매우 쉽고 폭발적이라는 게 이 취약점의 특징입니다.” 차르파티의 설명이다.

최악의 경우 공격자는 과거에 전송됐던 모든 메시지들까지 열람할 수 있게 된다. 뿐만 아니라 캘린더로 들어가 스케줄을 확인하고, 각종 팀즈 세션에 참가하는 것도 가능하다. 심지어 조직원인 것처럼 위장한 후 팀즈를 통해 여러 가지 정보를 캐묻는 것도 가능하다.

최근 사이버 공격자들은 팀즈, 줌, 슬랙과 같은 온라인 협업 플랫폼에 큰 관심을 보이고 있다. 코로나로 인해 많은 사람들이 집에서 근무를 시작했기 때문이다. 차르파티는 “이렇게 원격 통신에 대한 의존도가 높은 때라면 보안이 허술해지는 게 맞다”며 “사무실이 아닌 공간과 익숙치 않은 IT 인프라에서 보안 실천 사항을 철저하게 지키는 것도 어렵고, 기존 보안 실천 사항으로 채워지지 않는 면이 있기 때문”이라고 설명한다.

그러면서 차르파티는 “마이크로소프트의 팀즈를 사용하는 조직이라면 뜬금없는 GIF 파일이 전송되는 것에 대해 경계해야 할 것”이라고 권고했다. “또한 비밀번호나 회사 기밀처럼 민감한 정보는 아무리 협업 플랫폼이라고 하더라도 대놓고 이야기 하지 않는 것이 좋습니다. 현존하는 모든 협업 플랫폼들에 크고 작은 보안 구멍이 있다고 상정해야 합니다. 완전히 안전한 공간은 없습니다.”

사이버아크에 의하면 마이크로소프트는 위에 설명된 서브도메인 장악 문제를, 취약점 보고가 들어간 지 하루 만에 해결했다고 한다. 사이버아크는 개념증명용 익스플로잇 영상(https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/, https://cyberark.wistia.com/medias/f4b25lcyzm)을 공개하기도 했다.

3줄 요약
1. 마이크로소프트의 협업 플랫폼인 팀즈에서 위험한 취약점 발견됨.
2. GIF 파일을 팀즈 통해 공유함으로써 익스플로잇 할 수 있음.
3. 조직 내 모든 팀즈 사용자의 정보를 열람하고 빼돌릴 수 있게 해주는 취약점.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...