하드코딩된 암호 이용해 지문 스캐너 우회하는 공격 발견

레노버는 최근 핑거프린트 매니저 프로에서 발견된 심각한 취약점을 해결하는 보안 패치를 발표했습니다. 공격자가 해당 취약점을 이용하면 기기에 저장된 중요 정보를 탈취할 수 있습니다.

마이크로소프트 윈도우 7, 8, 8.1 OS용 유틸리티인 핑거프린트 매니저 프로 사용자는 지문을 이용해 레노버 컴퓨터에 로그인할 수 있습니다. 또한 웹 사이트 로그인 정보를 저장하고 지문을 이용해 사이트를 인증하는 데에도 사용됩니다.

레노버에 따르면, 핑거프린트 매니저 프로 8.01.86 및 이전 버전에서 하드코딩된 비밀번호 취약점(CVE-2017-3762)이 발견되었습니다. 핑거프린트 매니저 프로에 저장된 사용자의 윈도우 로그인 정보 등의 중요 정보가 약한 알고리즘으로 암호화되어 있고, 하드 코딩된 비밀번호를 포함하고 있어, 핑거프린트 매니저 프로가 설치된 시스템에 로컬 비 관리자로서 액세스 권한이 있는 모든 사용자에게 접근이 허용됩니다.

이 취약점은 레노버 씽크패드, 씽크센터, 씽크스테이션 노트북에 영향을 미치고 윈도우 7, 8, 8.1 OS가 실행되는 8개의 씽크센터 모델, 5개의 씽크스테이션 모델, 24개 이상의 레노버 씽크패드 모델에 영향을 미칩니다.

다음은 취약한 레노버 제품의 목록입니다.

ThinkPad L560

ThinkPad P40 Yoga, P50s

ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560

ThinkPad W540, W541, W550s

ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)

ThinkPad X240, X240s, X250, X260

ThinkPad Yoga 14 (20FY), Yoga 460

ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z

ThinkStation E32, P300, P500, P700, P900

레노버는 보안 연구원 잭슨 쯔라이사미가 해당 취약점을 발견했고 보고했음을 인정했습니다.

또한 씽크패드 고객들에게 해당 취약점으로 인한 피해를 예방하기 위해 핑거프린트 매니저 프로 8.01.87 또는 그 이후 버전을 최신 버전으로 업데이트할 것을 강력하게 권고했습니다.

마이크로소프트가 윈도우 10 OS에 지문 인식기 기능을 지원하였고, 그로 인해 사용자들은 핑거프린트 매니저 프로를 사용할 필요가 없어졌습니다. 현재 윈도우 10 OS가 실행되는 레노버 노트북은 해당 취약점의 영향을 받지 않습니다.

출처 : 

https://thehackernews.com/2018/01/lenovo-fingerprint.html