마이크로소프트, 보안을 우회하는 macOS 버그 발견

애플은 최근 애플의 Gatekeeper 보안 메커니즘을 우회하고 취약한 macOS 장치에 악성 소프트웨어를 배포할 수 있는 위협 행위자에 의해 잠재적으로 악용될 수 있는 macOS 운영 체제의 취약점을 수정했습니다.

마이크로소프트의 수석 보안 연구원인 Jonathan Bar Or는 월요일에 발표된 보안 블로그 게시물에서 Gatekeeper, 이를 우회할 수 있는 취약점 및 결함의 영향을 자세히 설명했습니다.

이 연구는 더 큰 생태계의 방어를 개선하기 위해 연구자와 보안 커뮤니티 간의 협력의 중요성을 강조하기 위해 마이크로소프트에 의해 공유되었습니다.

CVE-2022-42821(아킬레스라고 불림)로 추적되는 이 취약점은 공격자가 애플의 Gatekeeper 보안 검사에서 부과된 애플리케이션 실행 제한을 우회할 수 있는 시나리오와 관련이 있습니다. 이는 신뢰할 수 있는 소프트웨어만이 Mac 장치에서 실행되도록 설계되었습니다.

마이크로소프트는 2022년 7월에 Microsoft Security Vulnerability Research(MSVR)를 통해 조정된 취약점 공개(CVD)를 통해 애플과 이 취약점을 공유했습니다.

아이폰 제조사는 2022년 12월 13일에 macOS 13(Ventura), macOS 12.6.2(Monterey) 및 macOS 1.7.2(Big Sur)에서 아킬레스 취약점을 해결하는 업데이트를 배포했습니다.

“이러한 Gatekeeper 우회는 악성 소프트웨어 및 기타 위협에 의한 초기 접근 벡터로 활용될 수 있으며, macOS에 대한 악의적인 캠페인 및 공격의 성공률을 높이는 데 도움이 될 수 있습니다.”라고 Jonathan은 블로그 게시물에서 썼습니다.

제한적인 ACL이 Gatekeeper를 우회하다

Gatekeeper는 macOS 보안 기능으로, 코드 서명을 시행하고 다운로드된 애플리케이션을 실행하기 전에 검증하여 악성 소프트웨어가 우연히 실행될 가능성을 줄입니다.

Safari와 같은 브라우저에서 앱을 다운로드할 때, 브라우저는 다운로드된 파일에 com.apple.quarantine라는 특별한 확장 속성을 할당합니다. 이는 나중에 Gatekeeper와 같은 정책을 시행하는 데 사용됩니다.

현재 Gatekeeper 설계는 다운로드된 앱에 대해 다음과 같은 동작을 규정합니다:

2. 앱이 유효하게 서명되고 인증되면, 즉 애플에 의해 승인되면, 사용자 동의를 요구하는 프롬프트가 표시됩니다.

3. 그렇지 않으면, 사용자는 앱이 신뢰할 수 없기 때문에 실행할 수 없다는 통지를 받습니다.

“macOS에서 악성 소프트웨어를 차단하는 데 필수적인 역할을 하기 때문에 Gatekeeper는 유용하고 효과적인 보안 기능입니다.”라고 Jonathan은 덧붙입니다.

“그러나 과거에 보안 기능을 목표로 한 수많은 우회 기술이 있었던 것을 고려할 때, Gatekeeper는 완벽하지 않습니다. Gatekeeper를 우회할 수 있는 능력을 얻는 것은 심각한 의미를 가지며, 때때로 악성 소프트웨어 작성자가 초기 접근을 위해 이러한 기술을 활용합니다.”

아킬레스 취약점을 입증하기 위해 마이크로소프트는 ACL을 잘못 사용하는 AppleDouble 파일을 조사하는 개념 증명(POC)을 개발했습니다.

모르는 분들을 위해, AppleDouble은 메타데이터를 원본 파일 옆에 다른 파일로 저장하는 파일 형식으로, “._” 접두사가 붙습니다.

회사는 다운로드된 파일에 매우 제한적인 ACL을 추가하기로 결정하여 Safari(또는 다른 프로그램)가 com.apple.quarantine 속성을 포함한 새로운 확장 속성을 설정하는 것을 금지했습니다.

POC를 수행하기 위해 마이크로소프트는 임의의 아이콘과 페이로드가 있는 가짜 디렉토리 구조를 만들었습니다.

레드먼드의 거인은 com.apple.ac.text 확장 속성 키와 “everyone deny write,writeattr,writeextattr,writesecurity,chown”의 동등한 값을 선택하여 제한적인 ACL을 나타내는 AppleDouble 파일을 생성했습니다. AppleDouble 파일을 생성하기 위해 ditto를 사용할 경우 올바른 AppleDouble 패치를 수행하십시오.

마지막으로, 악성 앱 내에 악성 페이로드를 아카이브하고 이를 AppleDouble 파일과 함께 웹 서버에 호스팅했습니다.

그 결과, 악성 앱은 Gatekeeper에 의해 차단되는 대신 공격자가 악성 소프트웨어를 다운로드하고 배포할 수 있도록 허용했습니다.

“macOS Ventura에서 도입된 애플의 Lockdown Mode는 정교한 사이버 공격의 표적이 될 수 있는 고위험 사용자에 대한 선택적 보호 기능으로, 제로 클릭 원격 코드 실행 취약점을 차단하는 것을 목표로 하며, 따라서 아킬레스에 대한 방어를 제공하지 않습니다.”라고 마이크로소프트 보안 위협 정보 팀은 월요일에 말했습니다.

“최종 사용자는 Lockdown Mode 상태와 관계없이 수정 사항을 적용해야 합니다.