[그림1. 구글 Project Zero]

 

Google은 오늘 2020년 초에 팀지한 Android 및 Windows 장치 소유자 모두 대상으로 진행된 정교한 해킹 작업을 자세히 설명하는 6부로 구성된 보고서를 발표했다.

 

"공격은 워터 링 홀 공격(watering hole attack)을 통해 서로 다른 익스플로잇 체인을 제공하는 두개의 익스플로잇 서버를 통해 수행되었다"고 구글이 말했다.

 

구글의 보안팀 중 하나인 Project Zero는 6개의 블로그 게시물 중 첫번째에서 "하나의 서버는 Windows 사용자를 대상으로하고 다른 하나는 Android를 대상으로했습니다." 라고 말했다.

 

구글은 두 익스플로잇 서버 모두 구글 크롬 취약점을 이용해 피해자 기기에 대한 초기 발판을 마련했다고 밝혔다. 

 

사용자의 브라우저에 초기 진입점이 설정되면 공격자는 피해자의 장치를 더 잘 제어하기 위해 OS수준의 공격을 배포한다.

 

익스플로잇 체인에는 제로 데이와 n-데이 취약점이 모두 포함되어 있다.

 

여기서 제로 데이는 소프트웨어 제조업체가 알지 못하는 버그를, n-데이는 패치되었지만 지속적으로 악용되고있는 버그를 말한다.

 

통합적으로 Google은 익스플로잇 서버에 다음이 포함되어 있다고 발표했다.

 

- 발견 당시에도 제로 데이였던 구글 크롬의 "렌더러" 버그 4개
- Windows OS에서 3가지 제로 데이 취약점을 악용한 샌드박스 이스케이프 익스플로잇 2개
- 이전 버전의 Android OS에 대해 공개적으로 알려진 n-데이 익스플로잇으로 구성된 권한 상승 키트

 

2020년 봄에 패치된 4개의 제로 데이는 다음과 같다.

 

- CVE-2020-6418 TurboFan의  Chrome 취약점 (2020년 2월 수정됨)
- CVE-2020-0938 Windows의 폰트 취약점 (2020년 4월 수정됨)
- CVE-2020-1020 Windows의 폰트 취약점 (2020년 4월 수정됨)
- CVE-2020-1027 Windows CSRSS 취약점 (2020년 4월 수정됨)

구글은 익스플로잇 서버에서 호스팅되는 안드로이드 제로 데이 익스플로잇의 증거를 찾지 못했지만 보안 연구원들은 공격자가 안드로이드 제로 데이에도 접근했을 가능성이 높지만 호스팅하지 않았을 가능성이 높다고 밝혔다.

 

구글은 공격자 또는 공격 피해자 유형에 대한 기타 세부 정보를 제공하지 않은 상태이다.

 

 

출처

https://www.zdnet.com/article/google-reveals-sophisticated-windows-android-hacking-operation/