Offcanvas

보안 / 소비자IT / 애플리케이션

레노버·도시바·델 지원 소프트웨어에서 취약점 발견

2015.12.08 Lucian Constantin  |  IDG News Service
PC 제조사들이 설치한 지원 애플리케이션에서 보안 결함이 발견됐다.


레노버 씽크패드 X240 (2). 이지미 출처 : Lenovo

PC 제조사가 설치해 놓은 기술 지원 애플리케이션에서 발견된 취약점의 수가 계속 늘어나고 있다. 레노버 솔루션 센터(Lenovo Solution Center), 도시바 서비스 스테이션(Toshiba Service Station), 델 시스템 디텍트(Dell System Detect)에서 결함이 있는 것으로 밝혀졌다.

가장 심각한 결함은 레노버 솔루션 센터에 있는 것으로 나타났고 이는 악성 웹 페이지가 시스템 권한으로 레노버의 윈도우 기반 컴퓨터에서 코드를 실행할 수도 있다.
 
온라인에서 슬립스티림(slipstream)과 RoL이라는 이름으로 활동하는 해커가 이 결함을 발견했으며 지난주 그것들을 악용하는 개념 증명을 발표했다. 이는 보안 권고 사항을 공식 발표하는 카네기 멜론대학의 CERT 코디네이션센터로 전달됐다.

이 문제 중 하나는 레노버 솔루션 센터가 만들어낸 LSCTaskService 때문에 야기됐으며 시스템 권한과 함께 실행하고 있다. 이 서비스는 명령을 수신할 수 포트 55555에서 HTTP 데몬을 연다. 이러한 명령 중 하나는 런인스톨러(RunInstaller)라고 하며 이는 ‘%APPDATA%\LSC\로컬 저장 폴더’에서 파일을 실행한다.
 
모든 로컬 사용자는 자신들의 권한에 상관없이 이 디렉토리에 쓸 수 있지만 파일은 시스템 계정으로 실행된다. 이는 제한된 사용자가 시스템 전체의 권한을 취득하기 위한 논리의 결함을 악용할 수 있음을 의미한다.

또 공격자가 있어도 위의 로컬 저장소의 폴더에 파일을 배치할 필요가 없기 때문에 어떤 위치에서 코드를 실행하는 레노버 솔루션 센터를 속이기 위해 활용할 수 있는 디렉토리 탐색 취약점이 존재한다.

결국 LSCTaskService는 악의적인 웹 사이트가 사용자의 브라우저를 통해 잘못된 요청을 중계할 수 있는 공격 방법인 크로스 사이트 요청 위조(CSRF)에 취약하다. 이는 그전의 2개 결함을 악용하기 위해서는 공격자가 레노버 솔루션 센터가 설치돼 있고 특수하게 조작된 웹 페이지를 방문하는 사용자를 속일 수 있는 시스템에 대한 로컬 접근권한을 가지지 않아도 됨을 의미한다.

레노버는 자사 웹 사이트의 보안 권고에서 현재의 취약성 보고를 조사하고 가능한 한 빨리 수정하겠다고 공지했다. 그 전까지는 사용자가 위험을 줄이기 위해, 레노버 솔루션 센터를 제거할 수 있다고 회사는 전했다.  

슬립스트림은 다른 2개에 대해서도 개념 증명 악용을 언급했다. 이 2개는 영향력이 낮은 취약점들인데 도시바 서비스 스테이션과 델 시스템 디텍트(DSD)에서 각각 1개가 발견됐으며 이 툴은 사용자가 델의 지원 웹사이트에서 ‘제품 탐색’ 버튼을 클릭할 때 설치된다. 

도시바 서비스 스테이션 애플리케이션은 시스템으로 실행되고 로컬 호스트에서 UDP 포트 1233으로 명령을 수신하는 TMachInfo라는 서비스를 생성한다. 이 명령들 중 하나는 레그.리드(Reg.Read)라고, 이 해커에 따르면 시스템 권한으로 윈도우 레지스트리의 대부분을 읽는 데 사용할 수 있다.

"이걸로 뭘 할지는 모르겠지만, 누군가는 악용할 수도 있다"고 슬립스트림은 밝혔다. 

DSD의 결함은 델이 이전의 취약점을 해결하려고 한 방법에서 유래한다. 슬립스트림에 따르면, 델은 명령을 인증하기 위해 RSA-1024의 서명을 구축했지만 공격자가 인증을 획득할 수 있는 웹 사이트에 그것을 두게 됐다.

이것들은 윈도우의 사용자 계정 제어(UAC)를 위한 우회 방법으로 쓰일 수 있다. 이러한 맥락에서 우회하는 것을 의미하며, “DSD가 개선되지 않는다면, 사용자가 ‘예’를 클릭할 때까지 사용자를 귀찮게 할 것이다"라고 해커는 전했다.

이 취약점이 레노버나 델 컴퓨터에 설치돼 있는 지원 툴에서 처음 발견된 것은 아니다.

한편 <IDG 뉴스 서비스>는 도시바와 델에 지원 소프트웨어의 취약점에 대해 질문했지만 답변을 듣지 못했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.