새로운 macOS 취약점으로 인한 무단 데이터 접근 가능성

Microsoft Threat Intelligence는 목요일에 공격자가 운영 체제의 투명성, 동의 및 제어(TCC) 기술을 우회하고 사용자의 민감한 데이터에 무단으로 접근할 수 있는 macOS 취약점을 발견했다고 밝혔습니다.

이 macOS 취약점은 CVE-2024-44133으로 확인되었으며 “HM Surf”라는 이름이 붙여졌습니다. TCC는 사용자의 사전 동의와 지식 없이 앱이 개인 정보(위치 서비스, 카메라, 마이크, 다운로드 디렉토리 등)에 접근하는 것을 방지하는 기술입니다.

그러나 HM Surf 취약점은 Safari 브라우저 디렉토리의 TCC 보호를 제거하고 해당 디렉토리의 구성 파일을 수정하는 것과 관련이 있습니다.

이로 인해 위협 행위자는 사용자의 동의 없이 민감한 사용자 데이터(브라우징 기록, 장치의 카메라, 마이크 및 위치 정보 등)에 무단으로 접근할 수 있습니다.

Microsoft Threat Intelligence 보고서에 따르면, 우회는 ~/Library/Safari 디렉토리의 민감한 파일에 의존합니다.

위협 행위자는 사용자의 실제 홈 디렉토리(예: /Users/$USER/Library/Safari/PerSitePreferences.db) 아래의 민감한 파일을 수정하여 보안 제어를 초월하고 Safari의 권한 및 TCC를 악용할 수 있습니다.

“디렉토리에서 임의의 파일을 읽는 것은 공격자가 매우 유용한 정보를 수집할 수 있게 합니다(예: 사용자의 브라우징 기록),”라고 보고서는 밝혔으며, “디렉토리에 쓰는 것은 TCC 우회를 가능하게 하며, 예를 들어 PerSitePreferences.db를 덮어쓰는 방식으로 이루어질 수 있습니다.”라고 덧붙였습니다.

레드몬드의 거대 기업은 Microsoft Defender for Endpoint의 행동 모니터링 보호가 이 취약점을 악용할 가능성이 있는 알려진 macOS 애드웨어인 Adload와 관련된 의심스러운 활동을 관찰했다고 추가했습니다.

“Microsoft Defender for Endpoint는 HM Surf 또는 기타 방법을 통해 Preferences 파일의 비정상적인 수정을 포함하여 CVE-2024-44133의 악용을 탐지하고 차단합니다.”라고 보고서는 덧붙였습니다.

Microsoft는 Microsoft Security Vulnerability Research(MSVR)를 통해 조정된 취약점 공개(CVD)를 통해 Apple과 발견 사항을 공유했으며, 이는 2024년 9월 16일 macOS Sequoia의 최신 보안 업데이트의 일환으로 Apple에 의해 수정되었습니다.

현재 TCC가 제공하는 새로운 보호 기능을 사용하는 것은 Apple의 Safari 브라우저뿐입니다. Microsoft는 Google 및 Mozilla를 포함한 다른 주요 브라우저 공급업체와 협력하여 로컬 구성 파일을 강화하는 이점에 대해 추가 조사를 진행하고 있습니다.

회사는 macOS 사용자가 이 취약점으로부터 보호하기 위해 가능한 한 빨리 Apple의 최신 보안 업데이트를 적용할 것을 강력히 권장합니다.

“Microsoft는 macOS 및 기타 비 Windows 장치에 영향을 미칠 수 있는 새로운 취약점과 공격자 기술을 발견하기 위해 위협 환경을 지속적으로 모니터링하고 있습니다. 크로스 플랫폼 위협이 계속 증가함에 따라, 취약점 발견 및 기타 형태의 위협 정보 공유에 대한 조정된 대응은 사용자의 컴퓨팅 경험을 보호하는 기술을 풍부하게 하는 데 도움이 될 것입니다.”라고 보고서는 결론지었습니다.