마이크로소프트, Autodesk FBX 취약점 수정을 위한 긴급 권고문 발표

Availability of updates for Microsoft software utilizing the Autodesk FBX library

마이크로소프트가 오피스, 오피스 365, 그림판 3D에 존재하는 Autodesk FBX에 존재하는 보안 취약점을 수정하는 긴급 권고문을 발표했습니다.

Autodesk의 연구원들은 Autodesk FBX 소프트웨어 개발 키트(SDK)에 존재하는 취약점 다수를 발견했습니다. 이 취약점을 악용할 경우 코드 실행 및 서비스 거부 (DoS)가 발생할 수 있습니다.

마이크로소프트는 Autodesk FBX 라이브러리로 인해 일부 제품에서 특수하게 제작된 3D 콘텐츠를 처리할 때 원격 코드 실행 공격이 가능한 문제를 확인했습니다.

“마이크로소프트는 특정 마이크로소프트 애플리케이션에 통합된 Autodesk FBX 라이브러리에 존재하는 취약점 다수를 수정하기 위한 업데이트를 발표했습니다.”

“해당 FBX 라이브러리를 사용하는 마이크로소프트 제품이 특수 제작된 3D 콘텐츠를 처리하는 방식에 원격 코드 실행 취약점이 존재합니다. 공격자가 이 취약점 악용에 성공할 경우 로컬 사용자와 동일한 권한을 얻을 수 있게 됩니다. 시스템에 대한 권한이 적게 부여된 사용자일 경우 관리자 권한을 가진 사용자보다 피해가 적을 수 있습니다.”

Autodesk는 아래 취약점을 수정했습니다.

• CVE-2020-7080 – 코드 실행

• CVE-2020-7081 – 코드 실행/서비스 거부

• CVE-2020-7082 – 코드 실행 

• CVE-2020-7083 – 서비스 거부 

• CVE-2020-7084 – 서비스 거부

• CVE-2020-7085 – 코드 실행

“FBX-SDK 버전 2020.0 또는 이전 버전을 사용하는 애플리케이션 및 서비스에는 버퍼 오버플로우 (buffer overflow), 타입 컨퓨전 (type confusion), UaF (use-after-free), 정수 오버플로우 (integer overflow), 널 포인터 역참조 (NULL pointer dereference), 힙 오버플로우 (heap overflow) 취약점이 존재할 수 있습니다.”

공격자는 피해자에게 3D 콘텐츠를 포함한 특수 제작 파일을 보내고 이를 오픈하도록 속이는 방식으로 취약점을 악용할 수 있습니다. 공격자는 이를 통해 해당 로컬 사용자와 동일한 사용자 권한을 얻을 수 있게 됩니다.

현재 이 취약점에 대한 완화법이나 대처 방법은 없는 것으로 나타났습니다.

“Autodesk 고객분들은 Autodesk 데스크톱 앱이나 계정 포털을 통해 취약한 제품을 최신 버전으로 업그레이드 할 것을 추천합니다.”

“애플리케이션이나 서비스에 FBX-SDK를 사용하는 써드파티 개발자 분들은 위 목록의 업데이트 소스(https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002)에서 FBX-SDK의 최신 버전을 적용할 것을 강력히 권고합니다.”

취약한 소프트웨어용 패치는 다음 달인 5월 “패치 화요일”과 함께 공개될 예정입니다.

출처 : 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200004

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002

https://securityaffairs.co/wordpress/102114/security/microsoft-autodesk-flaws.html