마이크로소프트(MS)가 위협 행위자가 사용자의 개인 정보를 노출하기 위해 무기화할 수 있는 애플 맥OS의 최근 패치된 보안 취약점에 대한 세부 정보를 공개했다.

더해커뉴스에 따르면, CVE-2021-30970으로 알려진 이 취약점은 사용자가 앱의 개인정보 설정을 구성하고 보호된 파일 및 앱 데이터에 대한 액세스를 제공할 수 있도록 하는 TCC(Transparency, Consent and Control) 보안 프레임워크의 논리 문제이다. 맥OS 시스템 환경설정 앱의 보안 및 개인 정보 패널은 TCC의 프런트 엔드 역할을 한다고 보도했다.

2021년 7월 15일 애플에 취약점을 보고한 마이크로소프트 365 디팬더 리서치팀은 이 결함을 "powerdir"이라고 명명했다. 애플은 상태 관리를 개선하여 2021년 12월에 릴리즈된 맥OS 11.6 및 12.1 업데이트의 일부로 이 문제를 해결했다.

애플은 전체 디스크 액세스 권한이 있는 앱으로만 TCC에 대한 액세스를 제한하는 정책을 시행하지만, 악성 응용 프로그램이 개인정보 기본 설정을 우회해 컴퓨터에서 민감한 정보를 검색할 수 있는 공격을 조정하여 잠재적으로 공격자가 개인 대화를 녹음하기 위해 마이크에 액세스하거나 사용자의 화면에 표시된 민감한 정보의 스크린샷을 캡처할 수 있다.

마이크로소프트 365 디팬더 리서치팀 연구원은 "대상 사용자의 홈 디렉토리를 프로그래밍적으로 변경하고 앱 요청의 동의 기록을 저장하는 가짜 TCC 데이터베이스를 구축하는 것이 가능하다는 것을 발견했다. 패치되지 않은 시스템에서 악용되는 경우 이 취약점으로 인해 악의적인 행위자가 사용자의 보호되는 개인 데이터를 기반으로 공격을 잠재적으로 오케스트레이션할 수 있다"라고 설명했다.

즉, 악의적인 행위자가 TCC 데이터베이스에 대한 전체 디스크 액세스 권한을 얻는 경우 침입자는 자신을 포함하여 선택한 앱에 임의의 권한을 부여하도록 편집할 수 있으므로 이전에 동의하지 않은 구성으로 앱을 실행할 수 있다.

CVE-2021-30970은 CVE-2020-9934 및 CVE-2020-27937에 이어 발견된 세 번째 TCC 관련 우회 취약점으로, 이 두가지 모두 애플에 의해 수정되었다. 그리고 2021년 5월, 같은 구성 요소(CVE-2021-30713)에서 공격자가 사용자의 명시적 동의 없이 전체 디스크 액세스, 화면 기록 또는 기타 권한을 얻을 수 있는 제로데이 취약점을 패치했다.

연구원은 또 "이는 매 릴리스마다 맥OS나 다른 운영 체제와 애플리케이션이 더욱 강화되고 있음에도 불구하고, 애플과 같은 소프트웨어 벤더, 보안 연구원, 그리고 더 큰 보안 커뮤니티가 공격자가 취약점을 이용하기 전에 이를 파악하고 수정하기 위해 지속적으로 협력해야 한다는 것을 보여준다"고 말했다.

★정보보안 대표 미디어 데일리시큐!★