[보안뉴스 한줄요약] 유명하다는 백신 대다수에서 심각한 취약점 발견돼

사진 1-1

멀웨어 공격을 위해 개발된 보안 도구들이 오히려 취약점을 내포하고 있어 공격의 통로가 된다는 내용의 보고서가 보안 업체 사이버아크(CyberArk)에 의해 발표됨.

다행히 사이버아크는 보고서 발표 전에 이러한 사실을 모든 제품 제조사들에 알림.

백신 개발사들은 취약점을 전부 패치한 상황

이번 보고서에 등장한 솔루션은 카스퍼스키의 제품 3개, 맥아피의 제품 2개, 시만텍과 포티넷, 체크포인트의 제품 1개씩, 트렌드 마이크로의 제품 5개외에 마이크로소프트, 어베스트, 이바라의 보안 제품들에서 발견된 취약점들의 정보도 보고서 내에 포함되있음.


모든 취약점들은 심각하긴 하나, 그 자체로 최초 침투를 허용하는 것은 아님.

즉 공격을 하고 싶다면 먼저 다른 방법을 통해 네트워크에 침투한 뒤 이 솔루션들을 익스플로잇 할 수 있다는 것

보안 업계 내에서 이러한 종류의 취약점들은 통상 ‘크게 위험하지 않다’는 식으로 분류됨.

사이버아크의 보얀 전문가이지 이 취약점들을 발견한 에란 시모니(Eran Shimony)는 “취약점들의 근본적인 원인은 모두 동일하다”고 설명함.

“그건 바로 보안 솔루션들이 높은 권한을 가진 상태에서 운영될 때 시스템 자원을 잘못 활용한다는 겁니다. 자원의 잘못된 활용을 공격하는 대표적인 공격법에는 DLL 하이재킹이 있고, 이번에 발견된 취약점들 모두 바로 이 공격에 약합니다. 즉 악성 파일을 권한이 높은 프로세스에 삽입하는 게 가능하다는 겁니다.”

결국 이번에 실험 대상이 된 모든 제품의 제조사들이 저지른 실수는 크게 두 가지다. 권한이 높은 상태에서 실행이 될 때(거의 모든 보안 제품들은 권한이 높다), DLL의 출처를 확인하지 않고 로딩하도록 했다는 것과 권한이 다른 앱들 사이에 자원을 공유하도록 허락했다는 것

이러한 발견에 대해 카스퍼스키는 “로컬 공격을 가능케 하는 취약점이 맞다”고 확인함. 카스퍼스키 제품(VPN Secure Connection 5.0 이전 버전, Virus Removal Tool 15.0.23.0 이전 버전, Security Center 12 이전 버전)에서는 취약점이 세 개가 발견됐는데, 이는 다음과 같음.
1) CVE-2020-25045 : 권한 상승 취약점
2) CVE-2020-25044 : 임의 파일 삭제 취약점
3) CVE-2020-25043 : 시스템 내 모든 파일 삭제 취약점