인기 자원 공유 및 원격 협업 앱인 팀뷰어에서 고위험군 취약점 나타나
익스플로잇 될 경우 공격자는 원격에서 코드를 실행하거나 비밀번호 크래킹 가능해
[보안뉴스 문가용 기자] 원격 지원 소프트웨어인 팀뷰어(TeamViewer)의 윈도우 데스크톱 버전에서 고위험군 취약점이 발견됐다. 익스플로잇이 될 경우 원격의 공격자가 인증 과정을 우회해 임의의 코드를 실행하거나 팀뷰어 비밀번호를 크래킹할 수 있다고 한다. 현재 이 문제에 대한 패치가 배포되고 있는 중이다.
[이미지 = utoimage]
팀뷰어는 여러 기업과 조직에서 원격 지원을 위해 사용하는 인기 높은 애플리케이션으로, 이를 통해 사용자들은 데스크톱 공유, 온라인 회의, 웹 컨퍼런스, 파일 공유 및 전송 등을 할 수 있다. 그러나 여기서 ‘인터넷 식별자(URI)’ 처리 부분에서 고위험군 취약점이 발견되었다. 이 취약점에는 CVE-2020-13699라는 번호가 부여되었다.
앱들이 웹사이트와 관련된 문제를 처리하려면 URI라는 정보가 필요하다. URI 정보를 처리하려면 이 정보를 ‘받아야’하는데, 확인되지 않은 출처로부터도 URI 정보를 받을 때가 있다. 공격자들이 이 점을 악용해, 악성 데이터를 URI에 섞어서 보내기도 한다. 이번에 발견된 팀뷰어 취약점도 이런 공격에 애플리케이션을 노출시킨다.
이러한 문제를 발견한 프레토리안(Praetorian)의 보안 엔지니어인 제프리 호프만(Jeffrey Hofmann)은 “공격자가 조작된 URL을 통해 악성 아이프레임을 웹사이트에 임베드시킬 수 있게 된다”며 “이 공격이 성공할 경우, 팀뷰어 윈도우 데스크톱 클라이언트가 강제적으로 원격 SMB 공유 자원을 열 수 있게 된다”고 설명한다.
이 공격을 실시하려면 어떻게 해야 할까? 공격자는 먼저 피해자를 선정해야 한다. 팀뷰어가 설치된 시스템을 운영하는 사용자가 공격 대상이 될 수 있다. 그 다음 이 피해자를 꼬드겨 웹사이트 내에 위치한 악성 URL을 클릭하도록 만들어야 한다. 따라서 공격자의 입장에서는 워터링홀 공격을 하는 게 가장 알맞을 것으로 유추된다.
피해자가 악성 URL을 클릭했다면, 그 사이트와 관련된 URI 정보가 확인을 위해 앱으로 들어가는데, 이 정보가 악의적으로 조작되었기 때문에 앱은 확인해야 할 정보가 아니라 명령으로 받아들인다. 그러면서 원격의 공격자와 SMB 연결이 성립된다. SMB는 윈도우 기반 컴퓨터들에서 사용되는 네트워크 통신 프로토콜 중 하나다.
피해자의 팀뷰어 앱을 통해 SMB 공유가 활성화되면, 윈도우는 NTLM을 통하여 연결을 성립시킨다. NTLM은 암호화 된 프로토콜을 사용해 사용자를 인증하는데, 이 때 사용자의 비밀번호를 전송하는 과정을 생략한다. NTLM 크리덴셜들은 로그온 과정 중에 취득되는 데이터를 기반으로 하고 있으며, 도메인 이름, 사용자 이름, 사용자 비밀번호의 일방향 해시로 구성되어 있다.
NTLM 연결까지 성립된 상태라면 공격자는 리스폰더(Responder)와 같은 도구를 사용해 NTLM 요청문들을 릴레이시킬 수 있게 된다. 리스폰더 툴킷은 내부 네트워크의 SMB 인증 세션을 캡쳐해서 다른 곳으로 전송하는 기능을 가지고 있다. 이 때문에 공격자는 피해자의 기기로 접근할 수 있게 된다. 혹은 비밀번호 해시를 캡쳐하고, 이를 브루트포스 기법으로 깰 수 있게 된다.
이 취약점은 팀뷰어 15.8.3 이전 버전들에서 발견되고 있다. 팀뷰어 측은 URI 처리 기능을 개선함으로써 이 문제를 해결했다고 한다. 팀뷰어를 사용하고 있다면, 최신 버전으로 업데이트 하고 불확실한 웹사이트에 접속해 링크를 누르지 않을 것이 권장되고 있다.
3줄 요약
1. 팀뷰어의 윈도우 데스크톱 클라이언트에서 고위험군 취약점 발견됨.
2. CVE-2020-13699로, URI 정보 처리 부분을 악용할 수 있게 해주는 취약점.
3. 결국 공격자는 팀뷰어가 설치된 시스템에서 코드를 실행하거나 피해자 비밀번호를 알아낼 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
익스플로잇 될 경우 공격자는 원격에서 코드를 실행하거나 비밀번호 크래킹 가능해
[보안뉴스 문가용 기자] 원격 지원 소프트웨어인 팀뷰어(TeamViewer)의 윈도우 데스크톱 버전에서 고위험군 취약점이 발견됐다. 익스플로잇이 될 경우 원격의 공격자가 인증 과정을 우회해 임의의 코드를 실행하거나 팀뷰어 비밀번호를 크래킹할 수 있다고 한다. 현재 이 문제에 대한 패치가 배포되고 있는 중이다.
[이미지 = utoimage]
팀뷰어는 여러 기업과 조직에서 원격 지원을 위해 사용하는 인기 높은 애플리케이션으로, 이를 통해 사용자들은 데스크톱 공유, 온라인 회의, 웹 컨퍼런스, 파일 공유 및 전송 등을 할 수 있다. 그러나 여기서 ‘인터넷 식별자(URI)’ 처리 부분에서 고위험군 취약점이 발견되었다. 이 취약점에는 CVE-2020-13699라는 번호가 부여되었다.
앱들이 웹사이트와 관련된 문제를 처리하려면 URI라는 정보가 필요하다. URI 정보를 처리하려면 이 정보를 ‘받아야’하는데, 확인되지 않은 출처로부터도 URI 정보를 받을 때가 있다. 공격자들이 이 점을 악용해, 악성 데이터를 URI에 섞어서 보내기도 한다. 이번에 발견된 팀뷰어 취약점도 이런 공격에 애플리케이션을 노출시킨다.
이러한 문제를 발견한 프레토리안(Praetorian)의 보안 엔지니어인 제프리 호프만(Jeffrey Hofmann)은 “공격자가 조작된 URL을 통해 악성 아이프레임을 웹사이트에 임베드시킬 수 있게 된다”며 “이 공격이 성공할 경우, 팀뷰어 윈도우 데스크톱 클라이언트가 강제적으로 원격 SMB 공유 자원을 열 수 있게 된다”고 설명한다.
이 공격을 실시하려면 어떻게 해야 할까? 공격자는 먼저 피해자를 선정해야 한다. 팀뷰어가 설치된 시스템을 운영하는 사용자가 공격 대상이 될 수 있다. 그 다음 이 피해자를 꼬드겨 웹사이트 내에 위치한 악성 URL을 클릭하도록 만들어야 한다. 따라서 공격자의 입장에서는 워터링홀 공격을 하는 게 가장 알맞을 것으로 유추된다.
피해자가 악성 URL을 클릭했다면, 그 사이트와 관련된 URI 정보가 확인을 위해 앱으로 들어가는데, 이 정보가 악의적으로 조작되었기 때문에 앱은 확인해야 할 정보가 아니라 명령으로 받아들인다. 그러면서 원격의 공격자와 SMB 연결이 성립된다. SMB는 윈도우 기반 컴퓨터들에서 사용되는 네트워크 통신 프로토콜 중 하나다.
피해자의 팀뷰어 앱을 통해 SMB 공유가 활성화되면, 윈도우는 NTLM을 통하여 연결을 성립시킨다. NTLM은 암호화 된 프로토콜을 사용해 사용자를 인증하는데, 이 때 사용자의 비밀번호를 전송하는 과정을 생략한다. NTLM 크리덴셜들은 로그온 과정 중에 취득되는 데이터를 기반으로 하고 있으며, 도메인 이름, 사용자 이름, 사용자 비밀번호의 일방향 해시로 구성되어 있다.
NTLM 연결까지 성립된 상태라면 공격자는 리스폰더(Responder)와 같은 도구를 사용해 NTLM 요청문들을 릴레이시킬 수 있게 된다. 리스폰더 툴킷은 내부 네트워크의 SMB 인증 세션을 캡쳐해서 다른 곳으로 전송하는 기능을 가지고 있다. 이 때문에 공격자는 피해자의 기기로 접근할 수 있게 된다. 혹은 비밀번호 해시를 캡쳐하고, 이를 브루트포스 기법으로 깰 수 있게 된다.
이 취약점은 팀뷰어 15.8.3 이전 버전들에서 발견되고 있다. 팀뷰어 측은 URI 처리 기능을 개선함으로써 이 문제를 해결했다고 한다. 팀뷰어를 사용하고 있다면, 최신 버전으로 업데이트 하고 불확실한 웹사이트에 접속해 링크를 누르지 않을 것이 권장되고 있다.
3줄 요약
1. 팀뷰어의 윈도우 데스크톱 클라이언트에서 고위험군 취약점 발견됨.
2. CVE-2020-13699로, URI 정보 처리 부분을 악용할 수 있게 해주는 취약점.
3. 결국 공격자는 팀뷰어가 설치된 시스템에서 코드를 실행하거나 피해자 비밀번호를 알아낼 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
