포스팅 내용

국내외 보안동향

마이크로소프트, CAT 파일을 악용한 윈도우 인증서 스푸핑 취약점 수정

Microsoft fixes Windows certificate spoofing bug abusing CAT files

 

마이크로소프트의 202010월 정기 패치인 패치 화요일에서 보안 취약점 87개를 수정했습니다. 이 중 하나는 CAT 파일을 악용하는 중요등급의 윈도우 스푸핑 취약점입니다.

 

공격자는 이 취약점을 악용하여 디지털 서명을 스푸핑하기 위해 서로 다른 파일 유형을 병합하는 폴리글롯(polyglot) 악성코드를 생성할 수 있습니다.

 

서명 스푸핑 취약점이란?

 

소프트웨어 제작자는 실행 파일이 합법적이고 변경되지 않았다는 것을 보장하기 위해 소프트웨어를 출시 전에 디지털 서명을 추가합니다. 이 과정을 코드 서명이라고도 합니다.

 

공격자는 서명 스푸핑 결함을 통해 합법적인 회사에서 서명된 것과 같이 인증되지 않은 악성 실행 파일을 통과시킬 수 있게 됩니다.

 

지난 2년간 활발히 악용되었던 스푸핑 취약점인 CVE-2020-146420208월 업데이트에서 수정되었습니다.

 

공격자는 이 취약점을 통해 정식으로 서명된 .MSI 패키지를 공격자의 악성 JAR 파일과 결합하여 캡슐화된 JAR 파일로 만드는 것이 가능합니다.

 

이 압축파일은 MSI 파일과 공격자의 JAR 파일을 모두 포함하고, MSI 패키지의 서명을 사용한 것처럼 보입니다.

 

 

<MSI-JAR 폴리글롯 파일의 구조>

<이미지 출처: 마이크로소프트>

 

 

위에서 얻은 JAR 파일을 파싱할 경우 서명 유효성 검사 유틸리티는 아카이브 파일의 시작 부분부터 디지털 서명이 나올 때 까지만 읽고 서명 이후의 콘텐츠는 삭제하기 때문에 취약점 악용이 발생할 수 있습니다.

 

JAR 파일을 로드하는 자바 가상 머신(JVM)은 결합된 압축 파일을 끝에서부터 읽기 때문에 JAR 파일을 읽은 후 MSI 파일을 읽게 됩니다.

 

이로 인해 공격자는 MSI에 서명한 합법적인 회사의 서명을 통해 악성 JAR 파일을 전달할 수 있게 됩니다.

 

CVE-2020-16922이 다른 점은?

 

화요일 패치된 CVE-2020-16922 취약점 관련 보안 권고에서는 해당 취약점이 패치되었다는 사실 이외에 다른 정보는 많이 공개되지 않았습니다.

 

하지만 마이크로소프트는 비공개 기업용 보안 권고를 통해 화요일 업데이트는 디지털 서명을 사용할 수 있는 마이크로소프트 카탈로그 (CAT) 파일을 포함하도록 하는 지난 8월 수정된 CVE-2020-1464 취약점의 연장선이라 밝혔습니다.

 

 

<.CAT 파일에 포함된 디지털 서명>

<이미지 출처: BleepingComputer>

 

 

 

이 취약점을 악용하면 인스톨러 파일(MSI)과 카탈로그 파일(CAT)의 콘텐츠가 앞부분에 추가될 경우 특수 서명된 악성 파일이 유효하게 서명된 것처럼 보이도록 나타나게 할 수 있습니다.”

 

이 취약점을 악용할 경우 특수 제작된 악성 파일이 원본 파일이 가진 신뢰를 얻을 수 있게 되기 때문에 악성 파일이 코드 서명 유효성 검사를 포함한 다양한 보안 검사를 우회할 수 있게 됩니다.”

 

 공격자는 서명된 CAT 파일과 악성 파일을 결합하여 자신의 악성 파일이 CAT 파일에 서명한 기관에서 서명된 것처럼 보이도록 할 수 있습니다.

 

탐지 및 완화

 

마이크로소프트 디펜더 안티바이러스의 정의를 최신으로 업데이트한 후 아래 서명 중 하나 이상이 탐지될 경우 서명 스푸핑 사용되었을 가능성이 있습니다.

 

1. Behavior:Win32/Maljar.B

2. Trojan:Java/Rajimsi (변종 A ~ E)

3. Trojan:Win32/Maljarcat.A

4. Trojan:Java/Rajimsi.gen!A​

5. Trojan:Java/Rajimsi.gen!B

 

마이크로소프트는 사용자에게 CVE-2020-1464, CVE-2020-16922 두 취약점 모두를 수정하는 202010월 업데이트를 적용할 것을 권장했습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/microsoft-fixes-windows-certificate-spoofing-bug-abusing-cat-files/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16922


티스토리 방명록 작성
name password homepage