드라이브 바이 다운로드(Drive-by Download) 취약점
드라이브 바이 다운로드는 인터넷에서 사용자가 의도하지 않게 파일이 다운로드 되는 취약점이다. 공격자가 설계한 사이트에 방문하거나 이메일 메시지등을 접속할 때 발생할 수 있다. 여기서 치명적인 것은 사용자는 파일이 다운로드 됐다는 것을 인지하기 어렵다는 점이다. 드라이브 바이 다운로드 취약점은 단순히 공격자가 유도한 사이트에 접속한다고 동작하는 것이 아니다. 우리는 웹 브라우저를 사용할 때 편리함을 위하여 여러 플러그인들을 사용한다. 해당 플로그인들도 취약점이 존재할 수 있으며 그 취약점을 이용하여 드라이브 바이 다운로드 공격을 하는 것이다. 플러그인의 예로는 어도비 플래시, 오라클 자바 등 이 있으며 특히 플래시의 경우 더 이상 기술지원을 하지 않기 떄문에 지금 부터 발견되는 모든 취약점은 제로데이 취약점으로 이어진다. 즉, 패치를 해주지 않기 때문에 해당 플러그인을 사용한다면 공격자들의 공격에 쉽게 노출될 수 있는 환경이 되는 것이다. 때문에, 더 이상 기술지원을 하지 않거나 취약한 플러그인의 경우 사용하지 않는 것이 좋다.
드라이브 바이 다운로드 취약점의 이름은 드라이브 바이 슈팅(Drive-by Shooting)에서 따온 것으로 드라이브 바이 슈팅은 운전을 하며 무차별 적으로 사격을 하는 것을 의미한다. 그 의미와 같이 드라이브 바이 다운로드는 불특정 다수에게 공격을 수행하는 것으로 특정 조건이 만족해야 익스플로잇할 수 있다.
조건은 앞에 언급한 플러그인의 사용이다. 공격자의 사이트에 접근한 사용자는 공격자가 의도한 플러그인을 사용중이어야 한다. 또한 그 플러그인은 공격자의 공격 스크립트를 실행할 수 있는 취약점을 갖고있어야 한다. 이러한 조건을 만족하면 공격자가 의도한 드라이브 바이 다운로드 공격이 실행되며 사용자는 자신도 모르게 파일이 다운로드될 수 있다. 다운로드되는 파일로 사용되는 것은 주로 랜섬웨어로 CryptoLocker, Metrix, Hermes 등의 랜섬웨어가 드라이브 바이 다운로드 취약점을 이용해 유포된다. 즉, 이미 기술지원이 끝난 플러그인을 사용하는 것은 당연히 위험하며 많은 사용자들이 이용하는 플러그인에서 발견된 취약점이라면 매우 치명적일 수 있다. 때문에 지속적인 패치와 사용자는 항상 플러그인을 최신화하여 취약점을 예방하는 것이 중요하다. 또한, 의심되는 링크, 메일의 경우 접속하지 않는 것이 현명하다.
iOS, iPadOS에서 발견된 드라이브 바이 다운로드 취약점
2021년 01월 27일 iOS, iPadOS에서 발견된 취약점은 총 3개가 발견되었다. 하나는 iOS, iPadOS의 커널에서 발견되었으며 나머지 두 개는 웹킷(WebKit) 브라우저 라이브러리에서 발견되었다. 웹킷은 브라우저를 만드는데 기반을 제공하는 오픈 소스 응용 프로그램 프레임워크이다.
웹킷에서 발견된 두 개의 취약점은 코드 실행 공격을 할 수 있게 하며 커널 영역에서 발견된 취약점은 메모리의 특정 영역을 임의 변경을 허용한다. 즉, 레이스 컨디션 공격을 할 수 있는 형태이다. 레이스 컨디션은 경쟁 조건 공격으로 한정된 자원을 동시에 이용하려고 하여 여러 프로세스가 해당 자원을 얻기 위한 경쟁을 하는 상태이다. 공격자는 취약한 프로그램에 심볼릭 링크를 걸고 기존의 파일을 삭제하여 생성될 때까지 기다린다. 이후 프로그램이 실행될 때 생성되는 취약한 파일을 심볼릭 링크를 이용하여 변조하고 파일의 내용을 빼돌리는 등의 행위를 하여 권한 상승을 하는 공격이다. 발견된 취약점을 익스플로잇하면 권한을 크게 상승시킬 수 있으며 웹킷 취약점의 경우 드라이브 바이 다운로드 공격을 할 수 있게 된다고 한다. 즉, 이번에 발견된 취약점들을 조합하여 사용할 경우 악성코드를 심으면서 권한을 상승 시키고 공격자가 해당 디바이스를 제어할 수 있게 되는 치명적인 취약점이다.
해당 취약점들은 현재 패치가 진행된 상태이며 치명적인 취약점인 만큼 사용자들의 빠른 업데이트가 필요하다. 또한 평소에 좀 더 안전한 네트워크 이용을 원한다면 VPN을 사용하는 것도 좋은 방법이라고 한다.
iOS와 iPadOS에서 세 가지 드라이브 바이 다운로드 취약점 발견돼 (boannews.com)
iOS와 iPadOS에서 세 가지 드라이브 바이 다운로드 취약점 발견돼
애플의 모바일 소프트웨어에서 발견된 세 가지 취약점들을 통해 아이폰과 아이패드에서 드라이브 바이 다운로드 공격을 실시하는 것이 가능하다고 보안 업체 카스퍼스키(Kaspersky)가 발표했다.
www.boannews.com
'System' 카테고리의 다른 글
| HSM(Hardware Security Module) (0) | 2021.02.03 |
|---|---|
| HPC(High Performance Computing) 클러스터 (0) | 2021.02.02 |
| 리눅스 민트 화면 보호기 우회 결함 (0) | 2021.01.19 |
| 윈도우 레지스트리, 하이브 파일 (0) | 2021.01.12 |
| 윈도우 공유 폴더 취약점 (0) | 2021.01.12 |
