마이크로소프트, 사용자 데이터 접근을 허용한 MacOS “Powerdir” 취약점 공개

마이크로소프트의 365 Defender 연구팀은 월요일 블로그 게시물에서 공격자가 운영 체제의 투명성, 동의 및 제어(TCC) 기술을 우회하여 사용자의 보호된 데이터에 무단으로 접근할 수 있는 새로운 macOS 취약점 “powerdir”를 발견했다고 밝혔습니다.

발견 이후, 마이크로소프트는 애플과 그 결과를 공유하였고, 이후 쿠퍼티노의 거인은 2021년 12월 13일에 발표된 보안 업데이트의 일환으로 이 취약점(CVE-2021-30970) 수정 사항을 발표했습니다.

“우리는 macOS 사용자들이 가능한 한 빨리 이러한 보안 업데이트를 적용할 것을 권장합니다.”라고 마이크로소프트는 작성했습니다.

모르는 분들을 위해, TCC는 macOS에서 사용자가 장치의 카메라, 마이크 또는 위치에 대한 접근과 사용자 캘린더 또는 iCloud 계정에 대한 접근과 같은 앱의 개인 정보 설정을 구성하는 데 도움을 주기 위해 본질적으로 설계된 기술입니다.

TCC를 보호하기 위해 애플은 무단 코드 실행을 방지하는 기능을 도입하고, 전체 디스크 접근 권한이 있는 앱만 TCC에 접근할 수 있도록 제한하는 정책을 시행했습니다.

마이크로소프트는 타겟 사용자의 홈 디렉토리를 프로그래밍 방식으로 변경하고 앱 요청의 동의 기록을 저장하는 가짜 TCC 데이터베이스를 심을 수 있다는 것을 발견했습니다.

패치되지 않은 시스템에서 악용될 경우, “powerdir” 취약점은 악의적인 행위자가 사용자의 보호된 개인 데이터를 기반으로 공격을 조정할 수 있게 할 수 있습니다. 예를 들어, 공격자는 장치에 설치된 앱을 탈취하거나 자신의 악성 앱을 설치하고 마이크에 접근하여 개인 대화를 녹음하거나 사용자 화면에 표시된 민감한 정보를 캡처할 수 있습니다.

팀은 이전에 보고된 다른 TCC 취약점들이 발견되기 전에 패치되었다고 언급했습니다. 또한, 그들은 최근 수정 사항을 조사하는 과정에서 powerdir 취약점을 발견했다고 지적했습니다.

“사실, 이 연구 중에 우리는 초기 버전이 최신 macOS 버전인 몬터레이에서 더 이상 작동하지 않기 때문에 우리의 개념 증명(POC) 익스플로잇을 업데이트해야 했습니다.”라고 마이크로소프트는 덧붙였습니다.

“이는 macOS나 다른 운영 체제 및 애플리케이션이 각 릴리스마다 더욱 강화되더라도, 애플과 같은 소프트웨어 공급업체, 보안 연구자들, 그리고 더 큰 보안 커뮤니티가 공격자가 이를 악용하기 전에 취약점을 식별하고 수정하기 위해 지속적으로 협력해야 함을 보여줍니다.”

마이크로소프트 보안 연구자들은 macOS 및 기타 비윈도우 장치에 영향을 미칠 수 있는 새로운 취약점과 공격자 기술을 발견하기 위해 “위협 환경을 모니터링”하고 있다고 결론지었습니다.

익스플로잇에 대한 자세한 내용을 알아보려면 마이크로소프트 365 Defender 연구팀의 블로그 게시물을 읽어보실 수 있습니다.