2021-05-14 05:45 (금)
폰투오운 해킹대회, 16건 익스플로잇 공개…총 120만 달러 지급
상태바
폰투오운 해킹대회, 16건 익스플로잇 공개…총 120만 달러 지급
  • 페소아 기자
  • 승인 2021.04.13 21:55
이 기사를 공유합니다

폰투오운(Pwn2Own) 해킹대회 2021이 지난 4월 8일 종료되었다.

ZDI(Zero Day Initiative)가 주최한 3일간 가상이벤트로 진행한 이번 대회에는 16건의 익스플로잇에 대해 총 120만 달러가 수여 되었다.

공격에 성공한 표적은 줌, 사파리, 마이크로소프트 익스체인지, 마이크로소프트 팀즈, 패럴럴즈 데스크탑, 윈도우10 및 우분투 데스크탑이다.

대회의 주요 내용은 다음과 같다.

△마이크로소프트 익스체인지 서버를 완전히 장악할 수 있는 인증 우회 및 로컬 권한 상승 취약점 - 20만달러 획득(Devcore 팀)

△마이크로소프트 팀즈(Teams)에서 두 개의 버그를 연결하여 코드 실행 - 20만달러 획득(OV)

△줌을 악용하여 대상 시스템에서 코드 실행을 위해 3개의 버그를 체이닝한 제로 클릭 익스플로잇 - 20만달러 획득(Daan Keuper와 Thijs Alkemade)

△사파리 정수 오버플로우 결함과 경계값 쓰기 취약점을 이용한 커널 수준 코드 실행 - 10만달러 획득

△구글 크롬 및 마이크로소프트 에지(크로미움)을 대상으로 하는 크롬 렌더러 취약점 - 10만달러 획득

△윈도우 10에서 Use-after-Free, 레이스 컨디션, 정수 오버플로우 버그를 활용하여 일반 사용자에서 SYSTEM 권한으로 상승 - 각 4만달러 획득

△패러럴즈 데스크탑 탈출 및 코드 실행이 가능한 초기화되지 않은 메모리 누수, 스택 오버플로우, 정수 오버플로우 취약점 결합 - 4만달러 획득

△패러럴즈 데스크탑에서 호스트 운영체제에서 코드를 성공적으로 실행할 수 있는 메모리 손상 버그 - 4만달러 획득

△우분투 데스크톱에서 루트로 권한 상승이 가능한 경계값 접근 취약점 - 3만달러 획득

Computest Security의 Daan Keuper와 Thijs Alkemade가 익스플로잇은 결함이 줌 통화에 참여하는 것 외에는 피해자의 상호작용이 필요없어 더욱 주목할만하다. 게다가 안드로이드 및 iOS 버전이 취약한지는 명확하지 않지만, 윈도우와 맥 버전 모두에 영향을 미친다.

결함에 대한 세부 사항은 아직 공개되지 않았지만, 대회 결과를 공유하는 성명에서 "시스템을 거의 완벽하게 장악하고 카메라나 마이크를 켜거나 이메일을 읽고 스크린을 확인하고 브라우저 히스토리를 다운로드받는 등의 행위를 수행" 가능한 것으로 보인다.

줌은 버그를 패치하기 위해 서버 측 변경을 추진했으며 보안 결함을 해결하기 위해 추가 보호 기능을 통합하고 있다고 언급했다. 이번 대회에서 나타난 취약점에 대해서는 문제가 공개되기 전에 90일의 문제 해결 기한이 주어진다.

줌 대변인은 "4월 9일 우리는 Pwn2Own에서 시연된 줌 챗에 대한 공격을 방어하는 서버 측 업데이트를 발표했다. 이 업데이트는 사용자의 조치가 필요하지 않다. 우리는 근본적인 문제를 완전히 해결하기 위해 추가 완화 작업을 계속하고 있다."라고 말했다.

줌 측은 또한 이번 문제에 대한 실제 악용의 증거는 발견하지 못했으며 결함이 세션 중 채팅에 영향을 미치지 않으며 공격이 이전에 수락된 외부 연락처나 동일한 조직 계정의 일부에 의해서만 가능하다고 지적했다.

독립 연구원 알리사 이세이지는 또한 가상화 소프트웨어 패러럴즈에서 버그를 발견, Pwn2Own에서 상금을 받은 최초의 여성으로서 남게 되었다. 그러나 그는 이벤트 이전에 ZDI에 문제를 보고했기 때문에 부분적인 승리로 기록되었다.

그는 "Pwn2Own 참여가 논란이 될 수 있는 지점이 있고 잠재적으로 구식인 컨테스트 규칙으로 인해 영향을 받았다. 실제 세계에서는 논란이 될 수 있는 지점 같은 것은 없다. 익스플로잇이 대상 시스템을 손상시키는가 손상시키지 못하는가만 있을 뿐이다"라고 트위터를 통해 말했다.


■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최

-주최: 데일리시큐

-후원: 개인정보보호위원회·한국인터넷진흥원·한국정보보호산업협회

-2021년 4월 28일~29일 온라인

-2일 참가시 14시간 보안교육 이수

-공공·금융·기업 보안실무자 1,500명 이상 참석

-최신 국내·외 보안솔루션 사이버 전시관 개최

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★