2018.02.21

구글, 마이크로소프트 에지 보안 결함이 수정되기 전 공개

Ms. Smith | CSO
구글 프로젝트 제로(Google Project Zero) 연구원은 마이크로소프트가 90일 공개 기한 내에 문제를 해결하지 못했기 때문에 마이크로소프트 에지에서 ACG 우회 세부 정보를 공개했다.


Credit : Microsoft

구글은 마이크로소프트 에지(Microsoft Edge)의 취약점에 대한 패치를 마이크로소프트가 개발하기 전에 공개함으로써 마이크로소프트를 압박하고 있는 것으로 보인다.

이 결함은 마이크로소프트의 임의 코드 가드(Arbitrary Code Guard, ACG)에 영향을 미쳤는데, 이 ACG는 마이크로소프트가 1년 전 윈도우 10 크리에이터 업데이트(Creators Update)에서 주요 보안 개선 사항으로 발표한 것이다. 에지 내 임의의 네이티브 코드 실행을 줄이기 위한 크리에이터 업데이트에서 코드 무결성 가드(Code Integrity Guard, CIG)와 ACG는 악의적인 코드를 메모리에 로드하는 등 현대 웹 브라우저 익스플로잇에서 발견되는 가장 보편적인 기본 요소를 깨는 데 도움을 준다.

마이크로소프트는 "최신 브라우저가 자바스크립트(JavaScript)를 네이티브 코드로 변환하는 방법을 설명했지만 JIT(Just-In-Time) 컴파일러가 ACG를 사용하도록 설정하는 것은 쉬운 일이 아니다. 차크라(Chakra)의 JIT 기능을 통해 자체 격리된 샌드박스에서 실행되는 별도의 프로세스로 옮겼다. JIT 프로세스는 자바스크립트를 네이티브 코드로 컴파일하고 이를 요청한 콘텐츠 프로세스에 매핑하는 작업을 담당한다. JIT 코드 페이지를 직접 매핑하거나 수정할 수는 없다"고 설명했다.

ACG가 활성화되면 윈도우 커널은 코드 페이지를 변경할 수 없으며, 서명되지 않은 코드 페이지를 새로 만들 수 없다는 정책을 적용해 콘텐츠 프로세스가 메모리 코드 페이지를 만들고 수정하는 것을 방지한다.

결함으로 인한 ACG 우회
그러나 구글 연구원 이반 프래트릭은 지난해 11월 ACG를 우회하는 방법을 발견하고 이 결함을 마이크로소프트에 보고했다. 결함의 심각도는 "중간(medium)"으로 평가됐다. 마이크로소프트에게는 표준 공개 기한인 90일이 주어졌지만, 그 기한 내에 이 문제를 해결하지 못했다.

2월 17일 구글 프로젝트 제로는 "마이크로소프트 에지: UnmapViewOfFile을 사용한 ACG 우회"라는 이름으로 이 결함을 공개했다.  

공개된 내용에 따르면, 마이크로소프트 보안연구소(Microsoft Security Response Center, MSRC)는 이번 수정은 처음 예상했던 것보다 훨씬 복잡하며 이 메모리 관리 문제로 인해 2월 출시 기한을 지키지 못할 가능성이 높다고 밝혔다. MSCR은 3월 13일이 되어서야 패치가 준비될 것이라고 말했다. 구글 프로젝트 제로는 마이크로소프트 화요일 업데이트와 맞추기 위해 90일 SLA와 14일 유예 기간을 초과한 것이라고 지적했다. 따라서 구글은 이 결함을 공개했다. 

그러나 2018년 3월 패치에서 마이크로소프트의 화요일 패치가 발표되지 않을 수 있다. 이미 결함의 세부 정보는 공개된 것이며, 사이버범죄 조직은 이를 악용할 수 있다. 다행스러운 점은 에지를 사용하는 사람이 실제 많지 않다는 것이다. 넷마켓쉐어(NetMarketShare)는 에지가 1월에 4.67% 브라우저 점유율을 기록했다고 보고했다. 그러나 에지를 사용하는 사람들을 위해 마이크로소프트는 패치를 서둘러 준비해야 할 것이다.

마이크로소프트, 구글이 결함을 공개하는 것을 각오해야 한다 
마이크로소프트가 90일 마감일을 지키지 못한 상황에서 구글 프로젝트 제로가 윈도우 관련 취약점을 공개해버리는 상황은 이번이 처음이 아니며 이런 상황이 지속적으로 연출될 것이다.

2016년 구글은 공격자가 윈도우 사용자 컴퓨터에 백도어를 설치할 수 있는 결함을 공개한 적이 있다. 당시 마이크로소프트의 테리 마이어슨은 격렬하게 반응했다. "우리는 책임있는 IT 산업 참여가 고객이 우선되어야 한다고 믿는다. 패치가 광범위하게 공개되고 테스트되기 전에 이런 취약점을 공개하겠다는 구글의 결정은 실망스럽고 고객의 위험도는 높아진다"고 말했다.

옳든 그르든, 이 시점에서 마이크로소프트는 공개 기한이 만료되면 구글이 공개할 것을 예상해야 한다. editor@itworld.co.kr  


2018.02.21

구글, 마이크로소프트 에지 보안 결함이 수정되기 전 공개

Ms. Smith | CSO
구글 프로젝트 제로(Google Project Zero) 연구원은 마이크로소프트가 90일 공개 기한 내에 문제를 해결하지 못했기 때문에 마이크로소프트 에지에서 ACG 우회 세부 정보를 공개했다.


Credit : Microsoft

구글은 마이크로소프트 에지(Microsoft Edge)의 취약점에 대한 패치를 마이크로소프트가 개발하기 전에 공개함으로써 마이크로소프트를 압박하고 있는 것으로 보인다.

이 결함은 마이크로소프트의 임의 코드 가드(Arbitrary Code Guard, ACG)에 영향을 미쳤는데, 이 ACG는 마이크로소프트가 1년 전 윈도우 10 크리에이터 업데이트(Creators Update)에서 주요 보안 개선 사항으로 발표한 것이다. 에지 내 임의의 네이티브 코드 실행을 줄이기 위한 크리에이터 업데이트에서 코드 무결성 가드(Code Integrity Guard, CIG)와 ACG는 악의적인 코드를 메모리에 로드하는 등 현대 웹 브라우저 익스플로잇에서 발견되는 가장 보편적인 기본 요소를 깨는 데 도움을 준다.

마이크로소프트는 "최신 브라우저가 자바스크립트(JavaScript)를 네이티브 코드로 변환하는 방법을 설명했지만 JIT(Just-In-Time) 컴파일러가 ACG를 사용하도록 설정하는 것은 쉬운 일이 아니다. 차크라(Chakra)의 JIT 기능을 통해 자체 격리된 샌드박스에서 실행되는 별도의 프로세스로 옮겼다. JIT 프로세스는 자바스크립트를 네이티브 코드로 컴파일하고 이를 요청한 콘텐츠 프로세스에 매핑하는 작업을 담당한다. JIT 코드 페이지를 직접 매핑하거나 수정할 수는 없다"고 설명했다.

ACG가 활성화되면 윈도우 커널은 코드 페이지를 변경할 수 없으며, 서명되지 않은 코드 페이지를 새로 만들 수 없다는 정책을 적용해 콘텐츠 프로세스가 메모리 코드 페이지를 만들고 수정하는 것을 방지한다.

결함으로 인한 ACG 우회
그러나 구글 연구원 이반 프래트릭은 지난해 11월 ACG를 우회하는 방법을 발견하고 이 결함을 마이크로소프트에 보고했다. 결함의 심각도는 "중간(medium)"으로 평가됐다. 마이크로소프트에게는 표준 공개 기한인 90일이 주어졌지만, 그 기한 내에 이 문제를 해결하지 못했다.

2월 17일 구글 프로젝트 제로는 "마이크로소프트 에지: UnmapViewOfFile을 사용한 ACG 우회"라는 이름으로 이 결함을 공개했다.  

공개된 내용에 따르면, 마이크로소프트 보안연구소(Microsoft Security Response Center, MSRC)는 이번 수정은 처음 예상했던 것보다 훨씬 복잡하며 이 메모리 관리 문제로 인해 2월 출시 기한을 지키지 못할 가능성이 높다고 밝혔다. MSCR은 3월 13일이 되어서야 패치가 준비될 것이라고 말했다. 구글 프로젝트 제로는 마이크로소프트 화요일 업데이트와 맞추기 위해 90일 SLA와 14일 유예 기간을 초과한 것이라고 지적했다. 따라서 구글은 이 결함을 공개했다. 

그러나 2018년 3월 패치에서 마이크로소프트의 화요일 패치가 발표되지 않을 수 있다. 이미 결함의 세부 정보는 공개된 것이며, 사이버범죄 조직은 이를 악용할 수 있다. 다행스러운 점은 에지를 사용하는 사람이 실제 많지 않다는 것이다. 넷마켓쉐어(NetMarketShare)는 에지가 1월에 4.67% 브라우저 점유율을 기록했다고 보고했다. 그러나 에지를 사용하는 사람들을 위해 마이크로소프트는 패치를 서둘러 준비해야 할 것이다.

마이크로소프트, 구글이 결함을 공개하는 것을 각오해야 한다 
마이크로소프트가 90일 마감일을 지키지 못한 상황에서 구글 프로젝트 제로가 윈도우 관련 취약점을 공개해버리는 상황은 이번이 처음이 아니며 이런 상황이 지속적으로 연출될 것이다.

2016년 구글은 공격자가 윈도우 사용자 컴퓨터에 백도어를 설치할 수 있는 결함을 공개한 적이 있다. 당시 마이크로소프트의 테리 마이어슨은 격렬하게 반응했다. "우리는 책임있는 IT 산업 참여가 고객이 우선되어야 한다고 믿는다. 패치가 광범위하게 공개되고 테스트되기 전에 이런 취약점을 공개하겠다는 구글의 결정은 실망스럽고 고객의 위험도는 높아진다"고 말했다.

옳든 그르든, 이 시점에서 마이크로소프트는 공개 기한이 만료되면 구글이 공개할 것을 예상해야 한다. editor@itworld.co.kr  


X