본문 바로가기

새소식/Mac

OS X 요세미티 10.10.5의 심각한 권한상승 취약점을 차단하는 보안 패치 등장 'SUIDGuard'

어제 OS X 요세미티 10.10.5 버전에 또 다른 보안 취약점이 발견되면서 논란이 일고 있다는 소식 전해드렸습니다.

사용자의 동의나 인지 없이 코드 한 줄만으로 간단히 루트 권한을 획득할 수 있기 때문에 시스템 보안에 매우 심각한 취약점으로 알려져 있습니다. 이에 애플의 적극적인 대응책 마련이 매우 시급하다는 주장이 대두되고 있는 상황인데요.

다행히 이 취약점을 처음 발견한 이탈리아의 보안전문가 '루카 토데스코(Luca Todesco)'가 취약점을 차단할 수 있는 툴을 배포하고 있습니다. 원래는 OS X 10.10.4 이전 버전에서 발견된 'DYLD_PRINT_TO_FILE' 취약점을 차단하기 위해 제작한 툴인데, 이번에 발견한 권한상승 취약점을 차단하는 코드를 추가해 넣었다고 합니다. 

'SUIDGuard'라는 BSD 기반의 커널 드라이버인데요. SUID/SGID 루트 바이너리를 보호하여 환경변수가 변조되는 것을 방지하고 NULL 페이지 메모리 공격을 차단하는 기능을 제공하고 있습니다.


* SUIDGuard 설치 전 : tpwn라는 스크립트 실행만으로 루트 권한 획득


* SUIDGuard 설치 후 : 스크립트 강제 종료를 통해 권한 상승을 사전에 차단

SUIDGuard는 공식 사이트를 통해 무료로 내려받을 수 있습니다. 또 소스 투명성을 위해 깃허브에 소스코드도 공개되어 있으므로 악성코드를 해결하기 위해 또 다른 악성코드를 설치하는 것 아닌가 하는 우려는 떨치셔도 좋을 듯합니다. 애플이 조속히 대응책을 마련해서 사용자들을 안심시키는 것이 무엇보다 중요해 보이지만, 당장 컴퓨터 여러 대를 관리하는 시스템 관리자 또는 한 대의 맥의 여러 사람과 공유하는 사용자라면 SUIDGuard 설치를 검토해 보시기 바랍니다.

* 나중에 OS X 보안 업데이트가 나와서 SUIDGuard를 삭제하고 싶으면 /Library/Extensions 폴더에 있는 SUIDGuardNG.kext 파일을 삭제하면 됩니다.



참조
SUIDGuard - The OS X security extension

관련 글
• OS X 요세미티 취약점을 노린 새로운 제로데이 익스플로잇 발견... '루트 권한 탈취'
• 애플, OS X 요세미티 10.10.5 정식 업데이트 개시... '모든 맥 사용자에게 권장'
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 애플, '프릭(Freak)' 취약점 해결하는 OS X 보안 업데이트 배포 시작