마이크로소프트(MS)가 도스(DoS) 공격과 원격 코드 실행에 악용될 수 있는 크롬OS의 보안 취약점(CVE-2022-2587)에 대한 세부 정보를 공유했다.
보안 전문가에 따르면, 이번 취약점은 OS Audio Server의 범위를 벗어난 쓰기 문제와 관련이 있다.
MS 측은 "원격으로 트리거될 수 있는 크롬OS 구성 요소의 메모리 손상 취약점을 통해 해커가 서비스 거부(DoS) 또는 극단적인 경우 원격 코드 실행(RCE)을 수행할 수 있다”라고 설명했다.
MS는 2022년 4월 Chromium 버그 추적 시스템의 일부로 이 문제를 구글에 보고했다. 이에 구글은 6월에 취약점을 해결했다.
또한 MS는 사용자가 제공한 identity 인수를 확인하지 않아 힙 기반 버퍼 오버플로가 발생하는 서버의 기능을 발견하기도 했다.
OS Audio Server는 노래 제목을 나타내는 메타데이터에서 'identity'를 추출하는 방법을 포함한다. 해커는 새 노래가 재생될 때 브라우저나 블루투스를 통해 오디오 메타데이터를 수정해 결함을 유발할 수 있다.
MS는 “오디오 메타데이터를 조작해 취약점이 원격으로 트리거될 수 있음을 발견했다. 해커는 브라우저나 페어링된 블루투스 장치에서 단순히 새 노래를 재생하거나 AiTM(adversary-in-the-middle) 기능을 활용하여 취약점을 원격으로 악용하는 등 사용자가 이러한 조건을 충족하도록 유인할 수 있다.
힙 기반 버퍼 오버플로의 영향은 단순한 도스에서 본격적인 RCE에 이르기까지 다양하다. 미디어 메타데이터 조작을 통해 청크를 할당하고 해제하는 것이 가능하지만 이 경우 정확한 힙 그루밍을 수행하는 것이 쉽지 않으며 해커는 임의 코드를 실행하기 위해 다른 취약점과 익스플로잇을 연결해야 한다”라고 설명했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
