악성 글꼴에 의한 해킹 취약점

외부 문서 위험

마이크로소프트의 2019.11월 정기 보안 업데이트에는, 악의적인 글꼴(font, 폰트)을 이용한 원격코드 실행 취약점에 대한 패치들이 포함됐다.

악성 글꼴을 이용한 해킹은 새로운 것은 아니다. 그리고 Windows 뿐만 아니라 안드로이드 등 다른 운영 체제에서도 가능하다.

이런 공격이 문제인 것은 피하기가 어렵기 때문이다. 악성 문서가 처음으로 문제가 된 것은 MS Office의 매크로였다. 이것은 매크로를 비활성화하면 되기 때문에, 조심하면 피할 수 있다. 그러나 요즘의 악성 문서들은 문서의 여러 가지 요소를 악용하기 때문에, 어떤 앱이나 운영 체제가 특정 요소를 잘못 다루는 버그가 있다면 바로 치고 들어온다. 취약점 패치 외에는 달리 피할 수 있는 방법이 없는 것이다.

글꼴 처리 상에 있는 취약점을 악용하는 방법은, 악성 글꼴이 포함된 문서를 열어 보게 하는 것이다. 악성 문서는 이메일의 첨부 파일일 수도 있고, 웹 페이지일 수도 있다. 사실상 외부에서 온 콘텐츠는 모두 잠재적인 위험이 있는 셈이다.

CVE-2019-1441

윈도우 7 등 구형 윈도우에 해당한다. Windows font library가 특별하게 조작된 폰트를 잘못 다룰 때, 원격의 해커가 임의의 코드를 실행할 수 있다. 악용에 성공한 해커는 피해자의 시스템을 완전히 장악하게 된다. 예를 들어 프로그램 설치, 파일 보기/편집/삭제, 모든 권한을 가진 새 계정 생성 등이 가능하다.

CVE-2019-1419

Windows 10 등 최신 윈도우도 영향권에 있다. Windows Adobe Type Manager Library가 특별하게 조작된 OpenType Font를 잘못 다룰 때, 1441과 마찬가지로 원격코드 실행이 가능하다. 다만 윈도우 10에서는 AppContainer sandbox에 갇힌 채로, 제한된 권한과 기능으로 실행된다.


참고 자료
  1. Microsoft's November 2019 Patch Tuesday Fixes IE Zero-day, 74 Flaws
  2. CVE-2019-1441 | Win32k Graphics Remote Code Execution Vulnerability
  3. CVE-2019-1419 | OpenType Font Parsing Remote Code Execution Vulnerability

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다