MS, 애플, 구글, 테슬라가 보안 전문가들 손에 농락당하고, 제품들에 구멍이 숭숭 뚫렸다는 성적표를 쥐게 됐다. 출시부터 안전한 IT 제품을 만드는 게 얼마나 힘든지가 매일 증명되고 있다. 그런데 그게 해킹 대회의 의의다.
[보안뉴스 문가용 기자] 현재 진행되고 있는 폰투온(Pwn2Own) 해킹 대회에서 마이크로소프트 팀즈(Teams)와 줌(Zoom) 등 코로나 사태를 통해 인기가 급상승한 애플리케이션들이 첫 날부터 맥을 못 추고 나가떨어지고 있다. 결국 인지도가 높고 유명한 기업이 만든 애플리케이션이라고 해서 해킹 기술을 가진 자들 입장에서는 취약점 찾기가 어려운 일이 아니라는 것이 다시 한 번 입증됐다.
[이미지 = utoimage]
폰투온 대회를 주관하는 트렌드 마이크로(Trend Micro)의 브라이언 고렝크(Brian Gorenc)는 “최근 들어 대회 참여자들이 계속해서 발전된 모습을 보여주고 있다”고 하며 “공격 표적에 따라 대단한 유연성을 보여주는 데에까지 이르렀다”고 설명한다. “소프트웨어 개발사들이 익스플로잇 난이도를 높이고 있는데도, 참가자들이 쉽게 해킹에 성공하는 걸 보면 알 수 있는 부분이기도 합니다.”
먼저 줌 익스플로잇에 성공한 해커들은 네덜란드의 보안 회사 컴퓨테스트 시큐리티(Computest Security)의 단 쿠머(Daan Keuper)와 티스 알케마데(Thijs Alkemade)로, 이 2인조는 20만 달러의 상금과 ‘마스터 오브 폰(Master of Pwn)’ 포인트 20점을 획득했다. 둘은 줌 메신저 클라이언트에서 발견된 취약점 3개를 연쇄적으로 익스플로잇 함으로써 피해 시스템에서의 코드 실행을 성공시켰다고 한다. 이 과정에서 피해자의 클릭을 유도하는 등의 노력은 필요하지 않은 것으로 나타났다.
이번에 공개된 취약점들은 이전의 취약점들과 달리 피해자 시스템을 완전히 장악할 수 있게 하며 따라서 대단히 위험하다고 컴퓨테스트 측은 경고했다. 이전 취약점들의 경우 공격자들이 줌 세션에 들어가 정보를 탈취하거나 회의를 방해하는 것 정도만 할 수 있었다.
현재 폰투온 대회 참가자들이 익스플로잇 할 수 있는 애플리케이션들은 총 7개 항목으로 구분되어 있다. 그 중 가장 많은 관심이 쏠리고 있는 건 마이크로소프트 익스체인지 서버, 셰어포인트, 팀즈, 줌, 마이크로소프트 에지, 구글 크롬, 애플 사파리, 어도비 리더, 마이크로소프트 오피스 365 프로플러스 정도다. 테슬라의 모델 3 차량도 해킹이 가능하다.
3일 동안 진행되는 이번 대회에서 이틀이 지난 상태인데 이미 세계 여러 곳의 전문가들이 위에 언급된 애플리케이션들 및 차량에서 수많은 보안 구멍들을 찾아냈고, 그 과정에서 수십만 달러의 상금을 획득했다.
잭 데이츠(Jack Dates)라는 인물은 사파리 브라우저에서 정수 오버플로우 취약점과 아웃 오브 바운즈 라이트 오류를 익스플로잇 함으로써 10만 달러를 거머쥐었다. 여기에다가 애플 맥의 파랄렐즈 데스크톱(Parallels Desktop) 소프트웨어를 익스플로잇 하는 데 성공해 4만 달러를 추가로 획득했다. 벤자민 맥브라이드(Brian McBride)라는 인물도 파랄렐즈 익스플로잇으로 4만 달러를 받았다.
데브코어 시큐리티 컨설팅(Devcore Security Consulting) 팀의 경우 마이크로소프트 익스체인지 서버 익스플로잇을 통한 서버 완전 장악 방법을 시연함으로써 20만 달러의 상금을 차지했다. 최근 발견된 4가지 제로데이 취약점과는 전혀 상관이 없는 것으로, 익스체인지 서버 사용자들이라면 주의해야 할 것이 하나 더 생긴 셈이다.
OV라는 이름으로 참가한 보안 전문가는 마이크로소프트 팀즈에서 코드 실행 취약점을 찾아내는 데 성공했다. 두 가지 취약점을 연쇄적으로 익스플로잇 해서 낸 결과로, 20만 달러의 상금을 탔다. 비텔 사이버 시큐리티(Viettel Cyber Security) 팀의 경우 윈도 10의 정수 오버플로우 취약점을 통해 권한을 상승시키는 데 성공해 4만 달러를 차지했다.
브루노 케이스(Bruno Keith)와 니클라스 봄스타크(Niklas Baumstark)는 구글 크롬 렌더러와 마이크로소프트 에지를 익스플로잇 했다. 이 때 같은 익스플로잇을 활용했으며, 총 10만 달러를 상금으로 얻었다.
고렝크는 “참가자들의 재능과 실력이 정말로 놀라운 수준”이라며 “이제 그 어떤 시스템이라고 해도 해킹 공격으로부터 안전할 수 없다는 것을 현장에서 절절히 느낄 수 있었다”고 밝혔다. 또한 “팬데믹 때문에 어느 조직에서나 사용하기 시작한 줌과 팀즈에 대한 연구가 활발히 이뤄졌다는 것도 큰 성과”라고 평했다.
3줄 요약
1. 폰투온 해킹 대회, 현재 진행 중.
2. 이틀 만에 MS, 구글, 애플, 테슬라 등 유수 기업 제품들이 뚫리고 있음.
3. 줌과 팀즈 등, 팬데믹으로 높은 점유율 차지한 소프트웨어 점검도 의의 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 현재 진행되고 있는 폰투온(Pwn2Own) 해킹 대회에서 마이크로소프트 팀즈(Teams)와 줌(Zoom) 등 코로나 사태를 통해 인기가 급상승한 애플리케이션들이 첫 날부터 맥을 못 추고 나가떨어지고 있다. 결국 인지도가 높고 유명한 기업이 만든 애플리케이션이라고 해서 해킹 기술을 가진 자들 입장에서는 취약점 찾기가 어려운 일이 아니라는 것이 다시 한 번 입증됐다.
[이미지 = utoimage]
폰투온 대회를 주관하는 트렌드 마이크로(Trend Micro)의 브라이언 고렝크(Brian Gorenc)는 “최근 들어 대회 참여자들이 계속해서 발전된 모습을 보여주고 있다”고 하며 “공격 표적에 따라 대단한 유연성을 보여주는 데에까지 이르렀다”고 설명한다. “소프트웨어 개발사들이 익스플로잇 난이도를 높이고 있는데도, 참가자들이 쉽게 해킹에 성공하는 걸 보면 알 수 있는 부분이기도 합니다.”
먼저 줌 익스플로잇에 성공한 해커들은 네덜란드의 보안 회사 컴퓨테스트 시큐리티(Computest Security)의 단 쿠머(Daan Keuper)와 티스 알케마데(Thijs Alkemade)로, 이 2인조는 20만 달러의 상금과 ‘마스터 오브 폰(Master of Pwn)’ 포인트 20점을 획득했다. 둘은 줌 메신저 클라이언트에서 발견된 취약점 3개를 연쇄적으로 익스플로잇 함으로써 피해 시스템에서의 코드 실행을 성공시켰다고 한다. 이 과정에서 피해자의 클릭을 유도하는 등의 노력은 필요하지 않은 것으로 나타났다.
이번에 공개된 취약점들은 이전의 취약점들과 달리 피해자 시스템을 완전히 장악할 수 있게 하며 따라서 대단히 위험하다고 컴퓨테스트 측은 경고했다. 이전 취약점들의 경우 공격자들이 줌 세션에 들어가 정보를 탈취하거나 회의를 방해하는 것 정도만 할 수 있었다.
현재 폰투온 대회 참가자들이 익스플로잇 할 수 있는 애플리케이션들은 총 7개 항목으로 구분되어 있다. 그 중 가장 많은 관심이 쏠리고 있는 건 마이크로소프트 익스체인지 서버, 셰어포인트, 팀즈, 줌, 마이크로소프트 에지, 구글 크롬, 애플 사파리, 어도비 리더, 마이크로소프트 오피스 365 프로플러스 정도다. 테슬라의 모델 3 차량도 해킹이 가능하다.
3일 동안 진행되는 이번 대회에서 이틀이 지난 상태인데 이미 세계 여러 곳의 전문가들이 위에 언급된 애플리케이션들 및 차량에서 수많은 보안 구멍들을 찾아냈고, 그 과정에서 수십만 달러의 상금을 획득했다.
잭 데이츠(Jack Dates)라는 인물은 사파리 브라우저에서 정수 오버플로우 취약점과 아웃 오브 바운즈 라이트 오류를 익스플로잇 함으로써 10만 달러를 거머쥐었다. 여기에다가 애플 맥의 파랄렐즈 데스크톱(Parallels Desktop) 소프트웨어를 익스플로잇 하는 데 성공해 4만 달러를 추가로 획득했다. 벤자민 맥브라이드(Brian McBride)라는 인물도 파랄렐즈 익스플로잇으로 4만 달러를 받았다.
데브코어 시큐리티 컨설팅(Devcore Security Consulting) 팀의 경우 마이크로소프트 익스체인지 서버 익스플로잇을 통한 서버 완전 장악 방법을 시연함으로써 20만 달러의 상금을 차지했다. 최근 발견된 4가지 제로데이 취약점과는 전혀 상관이 없는 것으로, 익스체인지 서버 사용자들이라면 주의해야 할 것이 하나 더 생긴 셈이다.
OV라는 이름으로 참가한 보안 전문가는 마이크로소프트 팀즈에서 코드 실행 취약점을 찾아내는 데 성공했다. 두 가지 취약점을 연쇄적으로 익스플로잇 해서 낸 결과로, 20만 달러의 상금을 탔다. 비텔 사이버 시큐리티(Viettel Cyber Security) 팀의 경우 윈도 10의 정수 오버플로우 취약점을 통해 권한을 상승시키는 데 성공해 4만 달러를 차지했다.
브루노 케이스(Bruno Keith)와 니클라스 봄스타크(Niklas Baumstark)는 구글 크롬 렌더러와 마이크로소프트 에지를 익스플로잇 했다. 이 때 같은 익스플로잇을 활용했으며, 총 10만 달러를 상금으로 얻었다.
고렝크는 “참가자들의 재능과 실력이 정말로 놀라운 수준”이라며 “이제 그 어떤 시스템이라고 해도 해킹 공격으로부터 안전할 수 없다는 것을 현장에서 절절히 느낄 수 있었다”고 밝혔다. 또한 “팬데믹 때문에 어느 조직에서나 사용하기 시작한 줌과 팀즈에 대한 연구가 활발히 이뤄졌다는 것도 큰 성과”라고 평했다.
3줄 요약
1. 폰투온 해킹 대회, 현재 진행 중.
2. 이틀 만에 MS, 구글, 애플, 테슬라 등 유수 기업 제품들이 뚫리고 있음.
3. 줌과 팀즈 등, 팬데믹으로 높은 점유율 차지한 소프트웨어 점검도 의의 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
