2024-03-29 20:15 (금)
맥OS 모든 버전에 영향미치는 로컬 권한상승 제로데이 취약점 공개돼
상태바
맥OS 모든 버전에 영향미치는 로컬 권한상승 제로데이 취약점 공개돼
  • 길민권 기자
  • 승인 2018.01.03 14:08
이 기사를 공유합니다

공격자, 제로데이 취약점을 트리거해 임의 코드 실행시키고 루트 권한 획득 가능해

MAC-2.jpg
트위터 계정 @s1guza를 사용하는 보안연구원이 시스템을 완벽하게 제어할 수 있는 maxOS 제로데이 취약점을 공개했다. 이 연구원은 최소 2002년부터 해당 취약점이 존재해왔다고 추정했다.

이 취약점은 HID(Human Interface Devices) 용으로 설계된 커널 확장 IOHIDFamily에 영향을 주는 로컬 권한 상승 취약점이다. 터치 스크린, 버트, 가속도계 등에 영향을 미칠 수 있다.

그가 발견한 이 결함은 모든 버전의 애플 macOS에 영향을 미치며, 커널에서 임의의 읽기/쓰기 취약점을 발생시킬 수 있다. 시스템에 접근할 수 있는 공격자는 제로데이 취약점을 트리거해 임의 코드를 실행시키고 루트 권한을 얻을 수 있다.

그는 iOS 커널에 존재하는 취약점을 찾기 위해 코드를 분석하던 중 macOS에만 존재하는 컴포넌트 IOHIDSystem을 발견했다. 그는 “원래 iOS 커널을 손상시킬 수 있는 낮은 수준의 취약점을 찾기 위해 소스를 분석하였는데, 이것을 통해 macOS에만 특히, IOHIDSystem에만 존재하는 IOHIDFamily 일부를 발견했다.”고 github에 공개한 기술 분석자료에 썼다.

그는 Sierra와 High Sierra에서 작동하는 IOHIDeous라고 불리는 PoC 코드를 공개했다. 시스템 무결성 보호(System Integrity Protection, SIP)와 애플 모바일 파일 무결성(Apple Mobile File Integrity, AMFI) 모두를 비활성화 시킬 수 있다. “해당 코드는 Sierra와 High Sierra를 타깃으로 풀 커널 읽기/쓰기를 구현하고 SIP를 비활성화 시켜, 어떠한 권한을 가진 사용자든 모든 최근 버전의 macOS에서 공격당할 수 있는 취약점을 증명한다.”고 설명했다.

그가 개발한 익스플로잇 코드는 사용자 개입을 피하기 위해 가능한 빨리 실행된다. 예를 들어, 시스템 종료 시에 로그아웃 중인 사용자와 커널을 종료시키는 것 사이에 끼어들 수 있다.

@s1guza가 공개한 PoC 코드는 2017년 12월 6일에 발표된 macOS High Sierra 10.13.2에서는 작동하지 않는 것으로 보이지만, 그는 여전히 취약하다고 생각한다. “패치되었을 수도 있지만 랜덤 수정에 의한 우연의 결과일 수도 있다. 취약점은 여전히 존재하고, 내 코드는 동일한 바이너리가 아니라해도 정보 유출과 커널 읽기/쓰기를 수행한다”고 덧붙였다.

그는 해당 제로데이가 로컬 공격자에 의해서만 악용될 수 있고, 애플의 버그바운티가 이를 다루고 있지 않기 때문에 정식으로 공개했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★