상세 컨텐츠

본문 제목

Yahoo 이메일에서 Yahoobleed 취약점 발생

국내외 보안동향

by 알약(Alyac) 2017. 5. 26. 09:30

본문

Yahoo 이메일에서 Yahoobleed 취약점 발생
18-Byte ImageMagick Hack Could Have Leaked Images From Yahoo Mail Server


최근 이미지 처리 오픈소스 소프트웨어인 ImageMagick이 Yahoobleed 취약점을 발생시켜 야후 메일 사용자들의 메일에 있던 이미지 첨부파일과 신분증 등 주요 정보들이 유출될 위험해 처했습니다. 해당 취약점 발생 후, Yahoo는 ImageMagick를 더 이상 사용하지 않기로 결정하였습니다.


최근 몇 년동안 ImageMagick에서는 취약점이 끊임없이 발생하였습니다. 2014년 5월, 악의적으로 조작된 이미지를 이용해 웹서버에서 악성코드를 실행시킬 수 있는 취약점이 발생하였으며, 2016년, 원격코드실행 제로데이 취약점이 발견되기도 했습니다.



Yahoobleed


저번 주, 보안연구원 Chris Evans는 또 다른 ImageMagick 취약점을 발견하였습니다. 해당 취약점을 악용하면 18바이트의 코드를 전송하는 것만으로 야후 메일 서버에 있는 사용자들의 사진을 유출시킬 수 있습니다. Evans는 해당 취약점을 Yahoo에 제보하였으며, 포상금으로 14,000달러를 받게 되었습니다.


Evans는 해당 취약점을 Yahoobleed#1(YB1)로 명명하였습니다.


해당 취약점은 RLE(Utah Raster Toolkit Run Length Encoded) 이미지 형식에 존재합니다. 공격자는 악성 RLE이미지를 제작하여 타겟 사용자 이메일로 전송한 후, 빈 RLE 프로토콜를 생성하고 루프를 돌게하는 방식을 통해 사용자 정보를 유출합니다.


<이미지 출처 : http://thehackernews.com/2017/05/yahoo-imagemagick-hack.html>


Evans는 18바이트의 poc코드를 제작해 자신의 야후메일에 전송했습니다. 해당 poc가 첨부된 이메일이 야후 메일 서버에 전송되면 ImageMagick은 해당 이미지에 대해 축소이미지, 미리보기 이미지를 위한 처리를 진행합니다. 하지만 취약점을 악용한 코드의 이미지 첨부파일 미리보기는 깨져 보이게 되며, 해당 이미지 첨부파일을 클릭한 후에는 이미지 미리보기 창이 발생하지만 서버 메모리 중에 있는 일부 이미지 정보 외에는 확인되지 않습니다.


HeartbleedCloudbleed 취약점에서, 일반적인 *bleed 취약점들은 자신에게 허용된 범위를 넘어서 읽는 취약점들이었지만, Yahoobleed가 이미지 내용을 초기화를 하지 않았거나, 이전 메모리 내용을 사용한다는 점에서 차이가 있습니다.

 
Evans는 Yahoobleed#2(YB2)  취약점도 발견했습니다. 해당 취약점은 야후가 ImageMagick이 2015년 1월에 배포한 패치를 진행하지 않아 발생하게 되었습니다. YB1과 YB2 취약점을 결합하여 사용하면, 공격자는 Yahoo Mail 사용자의 브라우저 쿠키, 인증 token 및 개인 이미지 등의 정보들을 획득할 수 있습니다.


Yahoobleed의 패치 방법은 매우 간단합니다.


(void)ResetMagickMemory(pixels,0,pixel_info_length);


야후는 이번에 Evans가 발견한 취약점을 공유받은 후, 더 이상 ImageMagick을 사용하지 않기로 결정하였습니다. Evans가 발견한 취약점은 ImageMagick이 공개한 ImageMagick 7.0.5-1버전에서 이미 패치가 진행되었습니다. Linux 등 사용자들은 해당 취약점이 패치된 ImageMagick을 사용할 수 있습니다.







출처 :
http://thehackernews.com/2017/05/yahoo-imagemagick-hack.html

관련글 더보기

댓글 영역