메모리에 있는 콘텐츠, 무작위로 파일에 옮겨지는 현상 발견돼
마이크로소프트 액세스에 중요한 정보 저장되는 것 고려하면 상당히 위험
[보안뉴스 문가용 기자] 마이크로소프트 액세스(Microsoft Access) 데이터베이스 애플리케이션에서 발견된 취약점인 CVE-2019-1463에 대한 기술 세부 내용이 공개됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 메모리에 저장된 내용이 유출될 수 있다.
[이미지 = iclickart]
이 취약점은 MDB 리커(MDB Leaker)라고 불리며, 8만 5천여 개의 기업들이 잠재적으로 이것에 노출되어 있다고, 이를 제일 처음 찾아낸 마임캐스트(Mimecast)는 설명한다. “CVE-2019-1463는 CVE-2019-0560이라는 정보 노출 취약점과 놀랄 정도로 비슷합니다.” CVE-2019-0560도 마임캐스트가 찾아낸 것으로(2019년 1월), 오피스 문서와 파일을 통해 정보가 노출되도록 하는 버그다.
비슷한 취약점이라서 그런지 두 가지 모두 코드에서부터 비슷한 오류를 포함하고 있다. 마임캐스트의 수석 멀웨어 전문가인 메니 파리온(Meni Farjon)은 “MDB 리커를 발견하게 된 건 작은 오탐 때문이었다”고 말한다. “당시 저희 팀에서는 정적 분석 엔진을 사용하고 있었는데, 이 엔진의 기능 중 하나가 데이터 파일 내에서 기계 코드를 탐지하는 것이었습니다. 데이터 파일에는 데이터 객체만 저장되는 게 정상이니까요.”
그런데 어느 날 한 MS 엑세스 MDB 파일에 대해서 경고 메시지가 떴다. 파일 내에 기계 코드 일부가 포함되어 있었던 것이다. 공격 시도의 흔적일 수 있어 자세히 분석했다. “그 기계 코드는 공격자가 남긴 게 아니라 마이크로소프트 액세스 애플리케이션 자체 내부에 있던 기계 코드였더라고요. 오탐이었죠. 하지만 저희는 이 결과를 놓고 ‘뭔가 메모리 내에 있는 콘텐츠를 파일로 새게 하는 요인이 있는 것 같다’는 의심을 시작했습니다. 그렇다면 큰 문제인 것이죠.”
사용자가 문서를 저장할 때면, 메모리에 있는 콘텐츠가 디스크에 있는 파일 내로 덤핑된다. 그런데 위 ‘오탐 사건’의 경우 사용자가 지정하지 않은 콘텐츠가 파일로 같이 덤핑되는 현상이 나타나는 것이었다. “여러 번 실험을 해본 결과 실제로 파일을 저장할 때마다 파일 내용이 조금씩 바뀌는 걸 발견할 수 있었습니다.”
이 MDB 리커는 어떤 식으로 활용될 수 있을까? “공격자가 원격 코드 실행 취약점을 추가로 알고 있다고 합시다. 그렇다 하더라도 공격을 실제로 하려면 메모리 내 콘텐츠의 위치를 알아야 효력을 발휘할 수 있습니다. 그런데 CVE-2019-1463이라는 취약점을 활용하면 어떻게 될까요? 콘텐츠를 보다 쉽게 찾아낼 수 있습니다. 원격 코드 실행 취약점을 훨씬 유용하게 만들어준다는 것이죠.”
심지어 이런 식으로 노출되는 데이터는 상당히 민감할 수 있다고 파리온은 지적한다. “다만 완전히 무작위로 노출이 되는 것이기 때문에 특별히 어떤 정보가 위험하다고 말하기가 어렵습니다. 어떻게 보면 메모리 전체가 위험한 것일 수도 있고, 어떻게 보면 하나도 위험하지 않은 것일 수도 있습니다. 중요한 건 특정 정보를 노리는 공격에 활용되기는 어렵다는 것입니다.”
CVE-2019-1463은 마이크로소프트 오피스 전 버전에 걸쳐 영향력을 발휘하는 취약점이다. MS는 지난 12월 패치를 배포했다. 아직까지 실제 공격에 이 취약점이 활용된 사례는 알려지지 않고 있다.
MDB 리커를 위에서 언급한 CVE-2019-0560과 비교하자면, “CVE-2019-0560이 더 위험할 수 있다”고 말한다. “VE-2019-0560은 마이크로소프트 엑셀에 있는 취약점인데, 액세스보다는 엑셀 사용자가 훨씬 많기 때문입니다. 대신 액세스에는 보다 민감한 정보가 담겨있을 확률이 높죠.”
3줄 요약
1. 마이크로소프트 액셀에서 발견된 MDB 리커 취약점.
2. 익스플로잇 할 경우 메모리 내 정보가 무작위로 노출됨.
3. MS는 12월에 패치 개발해 배포 시작.
[국제부 문가용 기자(globoan@boannews.com)]
마이크로소프트 액세스에 중요한 정보 저장되는 것 고려하면 상당히 위험
[보안뉴스 문가용 기자] 마이크로소프트 액세스(Microsoft Access) 데이터베이스 애플리케이션에서 발견된 취약점인 CVE-2019-1463에 대한 기술 세부 내용이 공개됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 메모리에 저장된 내용이 유출될 수 있다.
[이미지 = iclickart]
이 취약점은 MDB 리커(MDB Leaker)라고 불리며, 8만 5천여 개의 기업들이 잠재적으로 이것에 노출되어 있다고, 이를 제일 처음 찾아낸 마임캐스트(Mimecast)는 설명한다. “CVE-2019-1463는 CVE-2019-0560이라는 정보 노출 취약점과 놀랄 정도로 비슷합니다.” CVE-2019-0560도 마임캐스트가 찾아낸 것으로(2019년 1월), 오피스 문서와 파일을 통해 정보가 노출되도록 하는 버그다.
비슷한 취약점이라서 그런지 두 가지 모두 코드에서부터 비슷한 오류를 포함하고 있다. 마임캐스트의 수석 멀웨어 전문가인 메니 파리온(Meni Farjon)은 “MDB 리커를 발견하게 된 건 작은 오탐 때문이었다”고 말한다. “당시 저희 팀에서는 정적 분석 엔진을 사용하고 있었는데, 이 엔진의 기능 중 하나가 데이터 파일 내에서 기계 코드를 탐지하는 것이었습니다. 데이터 파일에는 데이터 객체만 저장되는 게 정상이니까요.”
그런데 어느 날 한 MS 엑세스 MDB 파일에 대해서 경고 메시지가 떴다. 파일 내에 기계 코드 일부가 포함되어 있었던 것이다. 공격 시도의 흔적일 수 있어 자세히 분석했다. “그 기계 코드는 공격자가 남긴 게 아니라 마이크로소프트 액세스 애플리케이션 자체 내부에 있던 기계 코드였더라고요. 오탐이었죠. 하지만 저희는 이 결과를 놓고 ‘뭔가 메모리 내에 있는 콘텐츠를 파일로 새게 하는 요인이 있는 것 같다’는 의심을 시작했습니다. 그렇다면 큰 문제인 것이죠.”
사용자가 문서를 저장할 때면, 메모리에 있는 콘텐츠가 디스크에 있는 파일 내로 덤핑된다. 그런데 위 ‘오탐 사건’의 경우 사용자가 지정하지 않은 콘텐츠가 파일로 같이 덤핑되는 현상이 나타나는 것이었다. “여러 번 실험을 해본 결과 실제로 파일을 저장할 때마다 파일 내용이 조금씩 바뀌는 걸 발견할 수 있었습니다.”
이 MDB 리커는 어떤 식으로 활용될 수 있을까? “공격자가 원격 코드 실행 취약점을 추가로 알고 있다고 합시다. 그렇다 하더라도 공격을 실제로 하려면 메모리 내 콘텐츠의 위치를 알아야 효력을 발휘할 수 있습니다. 그런데 CVE-2019-1463이라는 취약점을 활용하면 어떻게 될까요? 콘텐츠를 보다 쉽게 찾아낼 수 있습니다. 원격 코드 실행 취약점을 훨씬 유용하게 만들어준다는 것이죠.”
심지어 이런 식으로 노출되는 데이터는 상당히 민감할 수 있다고 파리온은 지적한다. “다만 완전히 무작위로 노출이 되는 것이기 때문에 특별히 어떤 정보가 위험하다고 말하기가 어렵습니다. 어떻게 보면 메모리 전체가 위험한 것일 수도 있고, 어떻게 보면 하나도 위험하지 않은 것일 수도 있습니다. 중요한 건 특정 정보를 노리는 공격에 활용되기는 어렵다는 것입니다.”
CVE-2019-1463은 마이크로소프트 오피스 전 버전에 걸쳐 영향력을 발휘하는 취약점이다. MS는 지난 12월 패치를 배포했다. 아직까지 실제 공격에 이 취약점이 활용된 사례는 알려지지 않고 있다.
MDB 리커를 위에서 언급한 CVE-2019-0560과 비교하자면, “CVE-2019-0560이 더 위험할 수 있다”고 말한다. “VE-2019-0560은 마이크로소프트 엑셀에 있는 취약점인데, 액세스보다는 엑셀 사용자가 훨씬 많기 때문입니다. 대신 액세스에는 보다 민감한 정보가 담겨있을 확률이 높죠.”
3줄 요약
1. 마이크로소프트 액셀에서 발견된 MDB 리커 취약점.
2. 익스플로잇 할 경우 메모리 내 정보가 무작위로 노출됨.
3. MS는 12월에 패치 개발해 배포 시작.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
