상세 컨텐츠

본문 제목

Linux 보안에 심각한 문제를 일으키는 제로데이 취약점

국내외 보안동향

by 알약(Alyac) 2016. 11. 25. 12:57

본문

Linux 보안에 심각한 문제를 일으키는 제로데이 취약점

Elegant 0-day unicorn underscores “serious concerns” about Linux security


OS의 최신 보호장치들을 우회하는 ‘스크립트 없는’ 익스플로잇

 

Fedora의 최신 버전을 온전히 제어하는 익스플로잇을 보여주는 스크린샷

이미지 출처 : http://arstechnica.com/security/2016/11/elegant-0day-unicorn-underscores-serious-concerns-about-linux-security/


최근 최신버전의 Fedora 및 다른 리눅스 배포판에 키로거, 백도어 등 악성코드를 설치할 수 있는 익스플로잇 코드가 공개되었습니다. 


익스플로잇 중 하나는 Gstreamer 프레임워크의 메모리 커럽션 취약점입니다. 이는 다수의 주요 리눅스 배포판들에 디폴트로 포함되어 있습니다. 해당 취약점은 소프트웨어 익스플로잇을 막기 위해 리눅스에 내장된 보호 장치 ASLR 및 DEP 보호를 공격하기 위해 좀처럼 활용이 드문 접근법을 이용합니다. 


ASLR은 소프트웨어가 특정 코드 덩어리를 로드하는 곳의 컴퓨터 메모리 위치를 랜덤화합니다. 그 결과, 현존하는 취약점을 악용하는 코드들은 종종 시스템을 해킹하는 대신 단순히 컴퓨터를 다운시킵니다. DEP는 NX 또는 No-Execute로도 불리며, 메모리 로드를 악용하는 코드 등의 실행을 차단합니다.


대부분 ASLR과 DEP 우회 방법과 달리, GStreamer 익스플로잇은 메모리 레이아웃이나 환경 변수의 변조를 위해 코드에 의존하지 않습니다. 그 대신, 보호장치들이 완전히 비활성화되도록 코드의 바이트들을 공들여 배열합니다. 또한 자바 스크립트나 메모리 조작 코드 등을 타겟 컴퓨터에서 실행해야 하는 필요성을 제거하여 이전에 불가능했던 공격들이 가능하도록 합니다. 이 익스플로잇을 개발해낸 연구원 Chris Evans는 이 도전을 “a real beast”라 묘사했습니다.


Evans는 해당 익스플로잇을 GStreamer의 최신 버전을 사용하는 Fedora 버전 24의 디폴트 버전에서 동작하는 FLAC 미디어 파일의 형태로 공개했습니다. 그는 우분투의 최신 버전인 16.04 LTS에서 조차 ASLR, RELRO 등의 방어장치가 없기 때문에 우분투용 익스플로잇을 만드는 것이 훨씬 쉬울 것이라고 밝혔습니다. 


이 공격은 FLIC 파일 포맷의 GStreamer 디코더를 악용하지만, Evans는 이것이 Rhythmbox 미디어 플레이어에 포함된 바이너리 코드를 타겟으로 한다고 말했습니다. 유사한 방법으로 Totem 미디어 플레이어에도 가능한 것으로 밝혀졌습니다.


이 익스플로잇은 즉시 실행할 수 있다기 보다는 이론적, 또는 연구로의 목적이 강합니다. 다른 리눅스 배포판에서도 광범위하게 동작할 수 있도록 재생산되어야 하기 때문입니다. 리눅스 배포판에서 미디어 파일을 플레이하는 사용자의 수가 매우 적기 때문에 사용자가 해당 익스플로잇에 피해를 입을 가능성은 매우 적을 것으로 보여집니다. 


그러나 Evan이 공개한 Fedora용 공격이 지난 주 그가 공개했던, 리눅스에서 실행되는 구글의 크롬 브라우저용 익스플로잇과 결합된다면 이야기는 달라집니다. 이것을 조금 다듬는다면 '심각한 드라이브-바이 다운로드 익스플로잇'이 될 수 있기 때문입니다. 또한 이 익스플로잇은 패치가 발행되지 않을 경우, Fedora 이외의 다른 배포판들에서도 동작할 것입니다. 다행히 이 포스트가 발행되기 바로 전, Ubuntu가 패치되었습니다. 얼마 후 다른 배포판들도 패치를 내놓을 것으로 보입니다.







출처 :

http://arstechnica.com/security/2016/11/elegant-0day-unicorn-underscores-serious-concerns-about-linux-security/

http://scarybeastsecurity.blogspot.kr/2016/11/0day-exploit-advancing-exploitation.html

관련글 더보기

댓글 영역