Itunes, Java등 소프트웨어 업데이트 과정의 취약점 공격툴 등장

오래 전부터 지속적으로 언급 되고 있는 사안 중의 하나가 바로 여러 제품들의 업데이트 과정의 안전성에 대한 것입니다. 제가 기억하기로는 이미 5-6년 이전부터 이런 취약점에 대해서 계속 언급이 되어 왔습니다. 취약점의 내용은 MITM(Man-In-The-Middle) 공격에 대한 것입니다. 업데이트를 수행하는 세션에 공격자가 끼어 들 수 있다면, 공격자가 중간에 끼워 넣은 악성 코드를 공격 대상자의 컴퓨터에서 실행할 수 있게 됩니다.

이를 방지하기 위해서 많은 벤더들에서는 업데이트 파일이 제대로 싸인 되어 있는지를 확인합니다. 그런데 아직도 이러한 기본적인 원칙도 지키지 않는 벤더들이 많은 가 봅니다. 다음은

ISR-evilgrade v1.0.0라는 가짜 업데이트 모듈이 지원하는 취약한 소프트웨어들의 목록입니다.

  • Java plugin

  • Winzip

  • Winamp

  • MacOS

  • OpenOffices

  • iTunes

  • linkedin toolbar

  • DAP (download accelerator)

  • notepad++

  • speedbit

ISR-evilgrade v1.0.0메타스플로잇의 모듈로 돌아 가는 공격 툴로서 위에 나열한 소프트웨어의 업데이트 과정을 가로채어 악성 코드를 주입하는 역할을 합니다. 최근에 발견된 DNS 취약점 과 연결하여 같이 사용하는 Demo도 이미 나와 있습니다.

자세한 내용은 ISR-evilgrade presentation slides를 참조하세요.

Leave a Reply