상세 컨텐츠

본문 제목

마이크로소프트, CAT 파일을 악용한 윈도우 인증서 스푸핑 취약점 수정

국내외 보안동향

by 알약4 2020. 10. 15. 09:01

본문

Microsoft fixes Windows certificate spoofing bug abusing CAT files

 

마이크로소프트의 202010월 정기 패치인 패치 화요일에서 보안 취약점 87개를 수정했습니다. 이 중 하나는 CAT 파일을 악용하는 중요등급의 윈도우 스푸핑 취약점입니다.

 

공격자는 이 취약점을 악용하여 디지털 서명을 스푸핑하기 위해 서로 다른 파일 유형을 병합하는 폴리글롯(polyglot) 악성코드를 생성할 수 있습니다.

 

서명 스푸핑 취약점이란?

 

소프트웨어 제작자는 실행 파일이 합법적이고 변경되지 않았다는 것을 보장하기 위해 소프트웨어를 출시 전에 디지털 서명을 추가합니다. 이 과정을 코드 서명이라고도 합니다.

 

공격자는 서명 스푸핑 결함을 통해 합법적인 회사에서 서명된 것과 같이 인증되지 않은 악성 실행 파일을 통과시킬 수 있게 됩니다.

 

지난 2년간 활발히 악용되었던 스푸핑 취약점인 CVE-2020-146420208월 업데이트에서 수정되었습니다.

 

공격자는 이 취약점을 통해 정식으로 서명된 .MSI 패키지를 공격자의 악성 JAR 파일과 결합하여 캡슐화된 JAR 파일로 만드는 것이 가능합니다.

 

이 압축파일은 MSI 파일과 공격자의 JAR 파일을 모두 포함하고, MSI 패키지의 서명을 사용한 것처럼 보입니다.

 

 

<MSI-JAR 폴리글롯 파일의 구조>

<이미지 출처: 마이크로소프트>

 

 

위에서 얻은 JAR 파일을 파싱할 경우 서명 유효성 검사 유틸리티는 아카이브 파일의 시작 부분부터 디지털 서명이 나올 때 까지만 읽고 서명 이후의 콘텐츠는 삭제하기 때문에 취약점 악용이 발생할 수 있습니다.

 

JAR 파일을 로드하는 자바 가상 머신(JVM)은 결합된 압축 파일을 끝에서부터 읽기 때문에 JAR 파일을 읽은 후 MSI 파일을 읽게 됩니다.

 

이로 인해 공격자는 MSI에 서명한 합법적인 회사의 서명을 통해 악성 JAR 파일을 전달할 수 있게 됩니다.

 

CVE-2020-16922이 다른 점은?

 

화요일 패치된 CVE-2020-16922 취약점 관련 보안 권고에서는 해당 취약점이 패치되었다는 사실 이외에 다른 정보는 많이 공개되지 않았습니다.

 

하지만 마이크로소프트는 비공개 기업용 보안 권고를 통해 화요일 업데이트는 디지털 서명을 사용할 수 있는 마이크로소프트 카탈로그 (CAT) 파일을 포함하도록 하는 지난 8월 수정된 CVE-2020-1464 취약점의 연장선이라 밝혔습니다.

 

 

<.CAT 파일에 포함된 디지털 서명>

<이미지 출처: BleepingComputer>

 

 

 

이 취약점을 악용하면 인스톨러 파일(MSI)과 카탈로그 파일(CAT)의 콘텐츠가 앞부분에 추가될 경우 특수 서명된 악성 파일이 유효하게 서명된 것처럼 보이도록 나타나게 할 수 있습니다.”

 

이 취약점을 악용할 경우 특수 제작된 악성 파일이 원본 파일이 가진 신뢰를 얻을 수 있게 되기 때문에 악성 파일이 코드 서명 유효성 검사를 포함한 다양한 보안 검사를 우회할 수 있게 됩니다.”

 

 공격자는 서명된 CAT 파일과 악성 파일을 결합하여 자신의 악성 파일이 CAT 파일에 서명한 기관에서 서명된 것처럼 보이도록 할 수 있습니다.

 

탐지 및 완화

 

마이크로소프트 디펜더 안티바이러스의 정의를 최신으로 업데이트한 후 아래 서명 중 하나 이상이 탐지될 경우 서명 스푸핑 사용되었을 가능성이 있습니다.

 

1. Behavior:Win32/Maljar.B

2. Trojan:Java/Rajimsi (변종 A ~ E)

3. Trojan:Win32/Maljarcat.A

4. Trojan:Java/Rajimsi.gen!A​

5. Trojan:Java/Rajimsi.gen!B

 

마이크로소프트는 사용자에게 CVE-2020-1464, CVE-2020-16922 두 취약점 모두를 수정하는 202010월 업데이트를 적용할 것을 권장했습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/microsoft-fixes-windows-certificate-spoofing-bug-abusing-cat-files/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16922


저작자표시

'국내외 보안동향' 카테고리의 다른 글

Egregor 랜섬웨어, Crytek과 Ubisoft 공격하고 데이터 유출해  (0) 2020.10.16
Allen-Bradley 아답터에서 패치되지 않은 DoS 취약점 발견  (0) 2020.10.15
모건 스탠리, 고객 데이터를 부적절하게 관리하여 6천만 달러 벌금형  (0) 2020.10.14
Seyfarth Shaw 쇼 로펌, 랜섬웨어 공격 받아  (0) 2020.10.14
해커들, VPN 취약점 악용하여 미 정부 선거 지원 시스템에 접근해  (0) 2020.10.13

관련글 더보기

댓글 영역

티스토리툴바