윈도우 지원툴, 타겟 공격에 악용될 수 있어

Windows Remote Assistance Tool Can Be Used for Targeted Attacks

모든 윈도우 배포판에 포함 된 윈도우 원격 지원 툴이 타겟 공격에 악용될 수 있는 것으로 나타났습니다.

한 보안연구원이 2월 이 툴에서 취약점(CVE-2018-0878)을 발견해 마이크로소프트에 지난 10월 제보했습니다. 이 문제를 수정한 패치는 지난 주 공개 된 2018년 3월 ‘패치 화요일’에 포함 되었습니다.

데이터 추출에 이상적인 취약점

이 취약점은 공격자가 어떠한 파일이라도 피해자가 알지 못하는 상태에서 그의 컴퓨터에서 추출해낼 수 있도록 허용합니다.

때문에 이 취약점은 데이터를 추출하기에 완벽하며, 피해자의 컴퓨터에서 몰래 파일을 훔치는데 사용될 수 있습니다.

다행인 것은, 이 취약점을 악용하려면 사회 공학적 기법을 사용해 피해자가 원격 지원 세션을 열도록 속여야 하기 때문에 대규모로 악용될 수는 없습니다.

동작 방식

윈도우 원격 지원 툴은 TeamViewer와 유사한 원격 지원 툴입니다. 이 툴은 윈도우 XP 이후의 모든 버전에 번들로 포함되어 제공 됩니다.

누군가 원격 지원 도구를 통해 도움을 요청하면, 해당 툴은 "Invitation.msrcincident"라는 파일을 생성합니다.

도움을 요청한 사용자는 이 파일을 이메일이나 다른 수단을 통해 도움을 주려는 사람에게 보내야 합니다. “헬퍼”는 “요청자”의 컴퓨터에 원격 데스크탑 세션으로 연결하기 위해 이 파일을 더블클릭 해야합니다.

"Invitation.msrcincident" 파일은 다양한 구성 데이터가 포함 된 XML 파일입니다. 연구원은 마이크로소프트가 이 파일이 깨끗한지 확인하는 과정을 누락해 잘 알려진 XEE 익스플로잇(XML External Entity)을 해당 파일에 삽입할 수 있음을 발견했습니다.

피해자가 함정이 포함 된 "Invitation.msrcincident" 파일을 오픈하면, 피해자의 원격 지원 툴이 로컬 파일을 원격 서버에 업로드 하도록 속일 수 있게 됩니다.

타겟 공격에 유용한 해킹 기법

공격자는 이 취약점을 로그, 백업, 데이터베이스 파일, 패스워드나 구성 정보를 포함하고 있을 수 있는 INI를 포함한 세팅 파일 등 중요한 정보가 포함 된 파일을 복구하는데 사용할 수 있습니다.

마이크로소프트는 윈도우 7 및 이후 버전에 대한 패치를 발표했습니다. 윈도우 10에서는, 구 버전 원격 지원 프로그램을 새로운 툴인 ‘빠른 지원(Quick Assist)’로 변경했습니다. 이 툴은 초대 파일 대신 초대 코드를 사용하므로 해당 공격에 취약하지 않습니다.

출처 :

https://www.bleepingcomputer.com/news/security/windows-remote-assistance-tool-can-be-used-for-targeted-attacks/

https://krbtgt.pw/windows-remote-assistance-xxe-vulnerability/