[ad_1]
Microsoft의 Visual Studio IDE 보안에 대해 인지된 약점이 이번 주에 새로운 원클릭 공격으로 다시 한 번 제기되고 있습니다.
Sangfor의 수석 보안 연구원이자 보안 수석 설계자인 Zhiniang Peng이 개발한 개념 증명(PoC)은 IDE의 “신뢰할 수 있는 위치” 기능의 기본 구현을 활용합니다.
2021년 북한이 후원하는 공격 사이버 그룹 Lazarus가 보안 연구원을 표적으로 삼은 이후 Microsoft는 원격 코드 실행(RCE)을 달성하는 데 사용되는 악성 Visual Studio 프로젝트를 방지하기 위해 신뢰할 수 있는 위치를 출시했습니다.
이번 주에 게시된 Peng의 익스플로잇은 시도되고 테스트된 공격 벡터를 방지할 수 있는 이 기능이 여전히 기본적으로 활성화되지 않아 인식하지 못하는 사용자를 위험에 빠뜨리는 방법을 강조합니다.
Peng은 이 기능을 기본적으로 활성화하면 웹에서 프로젝트를 여는 개발자를 보호하는 데 큰 도움이 될 것이라고 주장했지만 Microsoft는 이 기능의 이점을 누리기 위해 여전히 사용자 개입이 필요한 이유에 대해서는 언급을 거부했습니다.
Microsoft는 연구원에게 GitHub와 같은 플랫폼에서 다운로드한 Visual Studio 프로젝트를 여는 것은 본질적으로 “안전하지 않은 작업”이라고 말하면서 이 문제를 보안 취약점과 동일하게 간주하지 않는다고 말했습니다.
익스플로잇 자체에는 사용자 컴퓨터에 다운로드되어 열리는 악의적으로 제작된 프로젝트가 포함됩니다. Peng은 프로젝트가 컴파일되기도 전에 RCE를 달성하는 방법을 고안했습니다.
여기에는 .suo 바이너리 파일, 내부에 자동으로 생성되는 파일 .vs 코드 실행을 트리거하기 위해 조작될 수 있는 프로젝트가 열릴 때 폴더입니다.
공격을 특히 기만적으로 만드는 것은 마침표로 시작하는 폴더와 파일이 기본적으로 프로젝트의 파일 탐색기에 표시되지 않는다는 사실입니다. 즉, 이를 찾으려면 추가적인 수동 노력이 필요하며, 발견된 경우에도 더 많은 작업이 필요합니다. 일반 텍스트 파일보다 읽기가 어렵습니다.
Peng은 “이 파일의 구조를 설명하는 문서도 제한되어 있어 주의 깊게 조사하더라도 간과하기 쉽습니다.”라고 말했습니다.
연구원의 전체 글에는 익스플로잇의 내부 작동 방식이 자세히 설명되어 있으며 새로운 공격 벡터와는 거리가 멀지만 Peng은 이 문제에 대한 Microsoft의 오랜 입장을 강조하고 싶었습니다. 패치되었습니다.
Lazarus가 2021년에 Visual Studio 익스플로잇으로 보안 연구원을 표적으로 삼기 시작한 후 Microsoft의 신뢰할 수 있는 위치 기능은 신뢰할 수 없는 Visual Studio 프로젝트를 연 사용자에게 대화 상자 창을 자동으로 표시하여 웹에서 다운로드한 프로젝트를 여는 것과 관련된 보안 위험을 경고하도록 설계되었습니다.
신뢰할 수 있는 위치는 결국 해당 대화 상자에 “제한 모드”를 추가하는 업데이트를 받았습니다. 이를 통해 사용자는 컴퓨터에서 어떤 코드도 실행되지 않는 보다 안전한 방식으로 프로젝트를 열 수 있습니다.
“활성화한 후 [trusted locations]Visual Studio 2022 내에서 열린 모든 콘텐츠는 귀하 또는 귀하의 조직이 그룹 정책을 통해 ‘신뢰할 수 있는 위치’ 목록에 추가할 때까지 신뢰할 수 없는 것으로 간주됩니다.”라고 당시 Microsoft는 블로그 게시물을 통해 밝혔습니다.
“신뢰 대화 상자 또는 신뢰 설정 대화 상자에서 폴더 위치, git 저장소 또는 git 저장소 소유자를 직접 신뢰할 수 있습니다.”
Peng이 제기한 문제는 신뢰할 수 있는 위치는 사용자가 수동으로 활성화해야 하는 기능이며 기본적으로 활성화되지 않는다는 것입니다. 이는 2023년에도 여전히 그렇습니다.
마이크로소프트 대변인은 회피했다 레지스터의 신뢰할 수 있는 위치가 기본적으로 활성화되지 않는 이유와 최신 PoC가 이 문제에 대한 입장을 바꿀지 여부에 대한 질문입니다.
그러나 다음과 같은 설명을 제공했습니다. “신뢰할 수 없는 코드로 작업할 때 발생하는 보안 위험을 줄이려면 고객이 자신을 더 잘 보호할 수 있도록 신뢰 설정을 구성하는 방법에 대한 지침을 따르는 것이 좋습니다.
“이미 발표한 보안 기능 개선 외에도 이러한 유형의 위협으로부터 고객을 보호할 수 있도록 서비스를 계속 평가할 것입니다.”
Peng은 “이 설정은 수동으로 활성화해야 합니다.”라고 말했습니다. “그러나 기사가 게시된 지 2년이 지나도 이 설정은 기본적으로 비활성화되어 있습니다. Visual Studio에서 이 설정을 활성화하지 못하게 하는 문제가 있을 수 있습니다.”
Peng은 MOTW(Mark of the Web)도 Visual Studio에서 준수되지 않으며 HTTP를 통해 다운로드된 솔루션(.sln) 파일은 MOTW 관련 경고 없이 열 수 있다고 말했습니다.
MOTW는 Internet Explorer에서 처음 구현된 보안 기능으로, 인터넷에서 다운로드한 파일에 태그를 지정하여 Microsoft Defender SmartScreen이 트리거되어 추가 안전 검사를 수행합니다.
Peng은 “대체로 아무런 노력 없이도 신뢰 영역과 MOTW의 이중 보호를 우회할 수 있으며 이는 인식하지 못하는 사용자에게 심각한 위험을 초래합니다”라고 말했습니다.
“SmartScreen 경고도 없고, 신뢰도 필요하지 않으며, 추가 상호 작용도 필요하지 않습니다. 하지만 Microsoft는 이를 취약점이 아니라고 간주하기 때문에 수정되지 않습니다.”
올해 초 레드팀 서비스 제공업체인 Outflank는 사전 빌드된 Visual Studio 익스플로잇을 공개했으며 Microsoft로부터 유사한 응답을 받았습니다. 이는 자체 PoC가 단순히 Visual Studio의 의도된 동작을 사용했다는 사실을 암시하며 이는 수정을 보장하지 않습니다. . ®
