구글, CVE-2021-24093 RCE 취약점에 대한 세부 정보 공개

 

 

Google discloses technical details of Windows CVE-2021-24093 RCE flaw

 

구글 프로젝트 제로(Google Project Zero)의 화이트햇 해커가 최근 패치된 윈도우 취약점인 CVE-2021-24093에 대한 자세한 정보를 공개했습니다. 이 취약점은 DirectWrite 클라이언트의 콘텍스트에서 원격 코드를 실행하는데 악용될 수 있습니다.

 

DirectWrite는 측정, 그리기, 적중, 다중 포맷 텍스트를 지원하도록 설계된 윈도우 API입니다.

 

이 취약점은 구글의 Dominik Röttsches와 구글 프로젝트 제로의 Mateusz Jurczyk가 발견했으며, 회사는 11월 이 문제를 마이크로소프트에 보고하고, 이번 주 문제의 세부적인 내용을 공개했습니다.

 

이 취약점은 2021년 2월 ‘패치 화요일’ 업데이트를 통해 수정되었습니다.

 

이 취약점은 윈도우의 모든 운영 체제 내 그래픽 컴포넌트에 존재하며, CVSS 점수 8.8점을 기록했습니다.

 

공격자는 피해자가 악성 파일을 호스팅하는 특수 제작된 사이트에 방문하도록 유도하는 방법으로 이 취약점을 악용할 수 있습니다.

 

CVE-2021-24093 취약점은 DirectWrite 힙 기반 버퍼 오버플로우로 특수 제작된 TrueType 폰트를 처리하는 부분에 존재합니다.

 

“손상된 'maxp' 테이블이 있는 변형된 TrueType 폰트를 로딩 및 레스터화 할 때 DWrite!fsg_ExecuteGlyph 함수에서 충돌이 발생하는 것을 발견했습니다.”

 

“특히 테스트 폰트에서 maxPoint 부분을 168에서 0으로 수정하고 maxCompositePoints 값을 2352에서 3으로 수정한 후 트리거 되었습니다. 이로 인해 힙에서 부적절하게 작은 버퍼가 할당되는 것으로 추측하고 있습니다.”

 

연구원들은 해당 취약점에 대한 PoC 익스플로잇(poc.ttf, poc.html) 또한 함께 공개했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/115008/hacking/cve-2021-24093-rce-flaw-details.html

https://bugs.chromium.org/p/project-zero/issues/detail?id=2123

https://bugs.chromium.org/p/project-zero/issues/attachmentText?aid=478314

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093