해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 해킹
2020/7/25(토)
조회: 183
서명된 PDF 문서들도 해킹을 통해 조작이 가능하다  
독일 보훔대학교에서 서명된 PDF 파일들을 공격하는 방법을 새롭게 발견해냈다. 이 방법을 통해 공격자들은 PDF 문서의 서명을 무효화시키고 콘텐츠를 마음대로 조작할 수 있게 된다고 한다. 이 공격 기법에 전문가들은 ‘그림자공격’ 혹은 ‘셰도우 어택스(Shadow Attack)’라고 이름을 붙였다.

[이미지 = utoimage]


공격 시나리오에 대해 보훔의 연구원들은 다음과 같이 설명한다. “PDF의 서명할 권리를 가진 사람은 문서를 받고 검토한 뒤 서명을 합니다. 공격자는 이렇게 서명된 문서를 확보하고 ‘그림자공격’을 통해 살짝 수정한 뒤, 원래 서명된 문서를 받아야 할 사람, 즉 피해자에게 전송합니다. 받는 사람, 즉 피해자는 이 문서를 열고 디지털 서명을 확인한 후 안심하고 문서 내용을 믿습니다. 그러나 실상은 틀린 내용을 보고 있는 것이죠.”

연구원들은 28개의 PDF 뷰어 프로그램들을 조사했고, 이 중 15개가 이런 공격 기법에 공략될 수 있다는 것을 알아냈다. 어도비(Adobe), 폭싯(Foxit), 리브레오피스(LibreOffice)에서 만든, 소비자들 사이에서 꽤나 유명한 앱들도 이 15개에 포함이 되어 있었다고 한다. 물론 지금은 연구 결과를 먼저 받아보고 세 회사 모두 패치를 배포한 상태다. 하지만 그 외 나머지 개발사들은 연구 결과에도 답장이 없거나, 패치를 개발하지 않고 있다.

이 연구원들은 이전에도 PDF 파일 서명 기술을 무력화시키는 방법을 발견한 적이 있었다. 당시에도 이들이 발견한 방법을 가지고 서명을 깨고, 문서 내용을 바꿀 수 있었다고 한다. 이번에는 기존과 다른 공격 기술을 무려 세 가지나 들고 나왔다. 각각 ‘그림자공격 : 숨기기’, ‘그림자공격 : 바꾸기’, ‘그림자공격 : 숨기고 바꾸기’라고 명명됐다. 말 그대로 콘텐츠를 공격자가 마음대로 숨기거나, 교체하거나, 둘 다 하는 것을 말한다.

1) 숨기기 : PDF 내용 일부를 숨기게 해준다. 공격자들은 서명자에게 정상적으로 보이는 메시지와 이미지 등이 포함된 문서를 보낸다. 그러나 그 밑에는 공격자들이 원하는 콘텐츠를 숨겨둘 수 있다. 서명자는 공격자들의 ‘진짜’ 콘텐츠는 보지 못하고 문서를 서명한다. 서명된 문서는 다시 공격자에게 되돌아간다. 이 시점에서 공격자는 콘텐츠를 조작해 그들의 진짜 의도가 담긴 콘텐츠가 드러나도록 만든다.

2) 교체하기 : 그 자체로는 아무런 이상이 없어 보이지만 콘텐츠가 나타나는 형태에 영향을 줄 수 있는 객체를 서명된 PDF 문서에 첨부한다. 예를 들어 폰트 규정과 관련된 객체를 첨부할 경우 콘텐츠를 직접 변경하지는 못하지만 콘텐츠가 화면에 출력되는 방식에 영향을 줄 수 있다. 그러면서 일부 글자들이 다른 문자나 기호로 바뀌도록 할 수도 있다.

3) 숨기고 바꾸기 : 가장 강력한 유형의 ‘그림자공격’이라고 연구원들은 설명한다. 서명된 문서의 내용을 전체적으로 바꿀 수 있게 해주기 때문이다. 공격자들은 같은 객체 ID를 가진 두 개의 객체를 활용함으로써 자신들의 악성 콘텐츠를 감춰두고, 정상적으로 보이는 콘텐츠를 표면에 드러나게 할 수 있다. 그런 상태에서 서명자에게 문서를 보내고 서명을 받은 문서를 되돌려 받는다. 되돌려 받은 후 공격자들은 Xref 표와 트레일러(Trailer)를 새롭게 첨부해 아까 숨겨 둔 악성 콘텐츠가 보이도록 만든다.

많은 정부 기관과 기업들에서 PDF의 진본성을 유지하기 위해 서명이라는 수단을 활용한다. 문서를 만들어 서명을 함으로써 아무도 내용을 바꾸지 못하게 하고, 문서를 받는 사람은 이 서명을 확인함으로써 내용이 진짜임을 알게 되는 구조다. 그러나 ‘그림자공격’ 기법이 있으면 이 신뢰 구조가 완전히 파괴된다. ‘그림자공격’을 가능케 하는 취약점은 CVE-2020-9592와 CVE-2020-9596이다.

3줄 요약
1. 신뢰를 위한 장치, PDF 서명 기술. 그러나 이 역시 완전하지는 않음.
2. 독일 보흠대학의연구에 따르면 이 서명 기술도 해킹으로 훼파하는 것이 가능하다고 함.
3. 그나마 유명 PDF 뷰어 개발사들은 이 문제를 접수하고 패치함. 나머지는 안 함.

  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
5770 해킹    “귀신인가?” 서울에서 소름돋는 해킹 사건이 발생했다 2020/07/26
5769 보안    미국 정부, 해킹 불가능 '양자 인터넷' 청사진 제시 2020/07/26
5768 해킹    서명된 PDF 문서들도 해킹을 통해 조작이 가능하다 2020/07/25
5767 해킹    한선화도 SNS 해킹 피해…새 계정 개설 "조심하세요" 2020/07/25
5766 해킹    "너희 집 비밀번호 XXXX, 또 올게"‥가정집 '무더기 해킹' 경찰 수사 2020/07/25
5765 해킹    트위터 해킹, 생각과 다르네…"메시지도 훔쳐봤다" 2020/07/25
5764 해킹    美 “지재권 보호”… 코로나 백신 해킹 시도 中에 초강수 보복 2020/07/25
5763 보안    '인스타그램 DM 해킹주의보'…보안 강화 방법은? 2020/07/25
5762 해킹    컴퓨터 없애니 '비밀번호 잠금' 태블릿 해킹...주거 침입 정황까지 2020/07/24
5761 해킹    해킹에도 묵묵부답 비트베리…'커스터디형 지갑' 안전한가? 2020/07/23

 
목록