MS, macOS 샌드박스 우회하는 보안 취약점 발견 
상태바
MS, macOS 샌드박스 우회하는 보안 취약점 발견 
  • 곽중희 기자
  • 승인 2022.07.15 16:15
  • 댓글 0
이 기사를 공유합니다

해커, 특수 조작 코드로 접근 권한 얻어 악성코드 설치

 

마이크로소프트(MS)가 macOS의 샌드박스에서 보안 취약점을 발견했다. 발견된 취약점은 macOS 앱 샌드박스에 대한 접근 권한과 관련이 있는 것으로 파악됐다.

MS 측은 “특수 제작된 악성코드는 앱 샌드박스를 뚫고 macOS를 공격할 수 있다. 접근 문제는 타사 응용 프로그램에 대한 추가 샌드박스 제한으로 해결됐다. 이 문제는 ▲tvOS 15.5 ▲iOS 15.5 ▲iPadOS 15.5 ▲watchOS 8.6 ▲macOS Big Sur 11.6.6 ▲macOS Monterey 12.4에서 수정됐다"라고 설명했다.

MS 연구원은 조작 코드를 사용해 샌드박스를 우회할 수 있음을 발견했다. 해커는 샌드박스의 취약점을 악용해 관련 장치에서 접근 권한을 얻거나 악성 페이로드 설치와 같은 명령을 실행할 수 있었다.

MS 연구원은 “macOS의 MS 오피스에서 악성 매크로를 실행, 탐지하는 방법을 연구하는 동안 취약점을 발견했다. 이전 버전과의 호환성을 위해 MS 워드는 ~$ 접두사가 있는 파일을 읽거나 쓸 수 있었다. macOS의 Launch Services를 활용해 해당 접두사가 있는 특수 제작된 파이썬 파일에서 open–stdin 명령을 실행해 샌드박스를 우회할 수 있음을 밝혀냈다"라고 설명했다.

해커는 샌드박스를 악성 매크로 코드가 포함된 조작된 오피스 문서를 사용해 시스템에서 명령을 실행할 수 있었다. 터미널 앱으로 셸 스크립트를 실행하는 매크로를 생성하기 위해 PoC(개념 증명) 익스플로잇을 만들었다. 이는 자동으로 주어진 터미널에서 실행을 방지하는 확장 속성 com.apple.quarantine 덕분에 가능했다.

해커는 파이썬 스크립트를 사용했지만 파이썬 앱은 해당 속성을 가진 파일을 실행하는 데 비슷한 문제가 있었다. 연구원들은 해킹 시도 중 하나에서  com.apple.quarantine 확장 속성 제한을 우회하기 위해 파이썬 파일의 열기 명령에 -stdin 옵션을 사용하는 PoC을 만든 것을 발견했다. 이런 식으로 해커들은 파이썬이 표준 입력의 내용이 격리된 파일에서 나온 것인지 확인할 수 있었다.

한편, MS는 2021년 10월 MSVR(Microsoft Security Vulnerability Research)와 CVD(Coordinated Vulnerability Disclosure)를 통해 애플에 이 문제를 보고했다. 애플은 2022년 5월 16일 이 취약점을 해결했다.
 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.