크롬 확장용 Evernote Clipper, 타 사이트 정보 탈취 취약점
CVE-2019-12592: UXSS(Universal cross-site script) 취약점
Chrome 브라우저의 Extention인 에버노트 클리퍼에서, 다른 사이트의 정보를 탈취하는 데 악용될 수 있는 취약점이 발견됐다. XSS 취약점은 사이트 관리자가 아닌 제3자가 임의의 스크립트를 삽입할 수 있는 취약점이다. 이와 비슷하게 브라우저나 그 확장 프로그램의 취약점을 이용해, 클라이언트 PC에서 XSS를 실행하는 것을 UXSS라고 한다.당연한 얘기지만, 에버노트 클리퍼는 개발자가 삽입한 스크립트만 실행하고, 에버노트에 관련된 정보에만 접근할 수 있다. 그러나 이 취약점을 악용하면, 해커가 에버노트 클리퍼를 통해 임의의 스크립트를 실행하고, 다른 사이트의 정보에 접근할 수 있다.
공격 과정은 다음과 같다.
피싱 등을 통해 악성 사이트로 유도한다.
여기서 표적 사이트들을 숨겨진 iframe으로 연다.
에버노트의 취약점을 이용해 각 iframe에 payload(악성 스크립트)를 주입한다.
페이로드는 각 표적 사이트에 따라 맞춤 제작된 것이다. 쿠키, 자격증명, 개인 정보를 훔치고 사용자인 것처럼 여러 작업을 수행할 수 있다.
이를 발견한 보안 회사 Guardio는 페이스북의 개인 정보와 친구 정보, 페이팔 거래 내역을 탈취하는 시연을 해 보였다. 포스팅도 가능하다.
에버노트는 5.31일, 패치된 7.11.1 버전을 내놨다.
참고 자료
댓글
댓글 쓰기