마이크로소프트 엣지, IE 브라우저의 제로데이 취약점 공개돼

Unpatched Zero-Days in Microsoft Edge and IE Browsers Disclosed Publicly

한 보안 연구원이 패치 되지 않은 마이크로소프트의 웹 브라우저 제로데이 취약점 2개 및 PoC 익스플로잇을 공개했습니다. 

그는 이 취약점을 발견 후 회사에 제보했으나 응답을 받지 못해 이를 공개한다고 밝혔습니다.

<이미지 출처: https://twitter.com/Windowsrcer/status/1111593640357355520>

 

공개한 취약점 2개 중 하나는 마이크로소프트 IE(Internet Explorer)의 최신 버전에서 발견되었으며, 다른 하나는 최신 엣지(Edge) 브라우저에 영향을 미칩니다.

공개된 두 취약점 모두 원격 공격자가 피해자 웹 브라우저의 동일 출처 정책(SOP: Same Origin Policy)을 우회하도록 허용합니다.

동일 출처 정책(SOP)는 최신 브라우저에 구현된 보안 기능으로, 한 출처에서 로드된 웹 페이지나 스크립트가 또 다른 출처의 리소스와 상호작용하는 것을 제한하여 관련이 없는 사이트들이 서로 간섭하는 것을 막습니다.

즉 사용자가 웹 브라우저를 통해 웹사이트에 방문하면, 이는 사이트가 로드된 동일한 출처 [도메인]에서만 데이터를 요청할 수 있습니다.

따라서 다른 사이트에서 사용자의 데이터를 훔치기 위해 사용자를 대신해 승인되지 않은 요청을 보내는 것을 방지합니다.

이 취약점은 취약한 마이크로소프트의 웹 브라우저를 이용하여 방문한 모든 도메인에 악성 웹사이트가 범용 크로스 사이트 스크립팅(UXSS: Universal Cross-Site Scripting) 공격을 허용할 수 있는 것으로 나타났습니다.

이 취약점을 악용하기 위해 공격자는 피해자가 해커가 생성한 악성 웹사이트를 오픈하도록 속이기만 하면 됩니다.

이로써 공격자는 동일한 브라우저에서 방문한 다른 사이트의 로그인 세션 및 쿠키와 같은 피해자의 민감 데이터를 훔칠 수 있게 됩니다.

이 문제는 리다이렉트 후 부적절하게 크로스 오리진(Cross-Origin) URL을 유출시키는 마이크로소프트의 브라우저의 리소스 타이밍 엔트리에 존재합니다.

이 연구원은 10개월 전 마이크로소프트에 그가 발견한 취약점에 대해 제보했으나, 회사는 이를 무시하고 공개 직전까지도 답변을 주지 않았다고 밝혔습니다.

또한, 아직까지 이 두 취약점은 패치 되지 않은 채 남아있는 상태입니다.

The Hacker News는 모든 패치가 완료된 윈도우 10 OS 환경에서 실행되는 IE와 엣지 최신 버전으로 이 두 제로데이 취약점을 테스트 결과 작동함을 확인하였습니다.

 

<이미지 출처: https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html>

 

새로 발견된 이 취약점들은 작년 마이크로소프트가 IE(CVE-2018-8351) 와 엣지 (CVE-2018-8545)에서 패치한 취약점들과 유사합니다.

이 두 제로데이 취약점의 자세한 정보 및 PoC가 공개 되었기 때문에, 해커들이 마이크로소프트 사용자들을 대상으로 이 취약점을 악용하는 데 큰 어려움이 없었을 것으로 보입니다.

마이크로소프트가 이 보안 문제를 패치하기 전까지 현재 사용자들이 할 수 있는 일은 많지 않다는 점이 아쉽습니다.

사용자들은 해당 취약점을 이용한 공격 예방을 위해 크롬, 파이어폭스 등 이 취약점이 존재하지 않는 다른 브라우저를 사용할 수 있습니다.

 

출처:
https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html
https://twitter.com/Windowsrcer/status/1111593640357355520