보안전문가 Barak Tawily는 파이어폭스에서 HTML 파일을 열면 17년된 버그로 인해 사용자의 컴퓨터에 저장된 파일을 공격자가 도용할 수 있다고 설명했다. 이 연구원은 공격 세부 사항을 공개하고 최근 버전의 파이어폭스에서도 작동한다는 사실을 입증했다.

 

Tawily이 로컬 파일 도용 공격에 취약하다는 사실을 발견했을 때, 그는 파이어폭스에서 Same Origin Policy(SOP)의 구현을 분석하고 있었다. 그는 “최근 나는 SOP 공격에 대한 연구를 수행하고 있었는데, 파이어폭스의 la 버전(현재 67)이 SOP의 부적절한 실행으로 인해 지원되는 모든 OS가 로컬 파일 도용 공격에 취약하다는 사실을 발견했다.”고 말했다.

또한 연구원에 따르면 파이어폭스는 지난 수년간 파일 URI 스키마에 대한 SOP 결함 구현을 수정하지 않았다. 연구원은 또한 PoC 세부 정보와 비디오를 공유했다. Tawily는 하위 폴더에 SSH 키가 들어있는 다운로드 된 파일을 사용자 디렉토리에 저장하면, 공격자가 리눅스 사용자의 비밀 SSH 키를 쉽게 훔칠 수 있다고 설명했다.

 

1. 공격자가 다운로드할 파일을 첨부해 사용자에게 메일 보내기, 사용자가 악성 웹사이트로 이동하여 파일을 다운로드하게 함

 

2. 사용자가 HTML 악성 파일을 열어봄

 

3. iframe에 포함된 폴더를 로드하는 파일임

 

- 이 연구원의 경우 파일 경로: file:///home/user/-malicious.html

 

- iframe 소스: file:///home/user

 

4. 사용자는 악성 HTML 버튼을 클릭한다고 생각하지만, 실제로는 iframe의 디렉토리 목록에 있는 악성 HTML 파일을 클릭하는 것임(ClickJacking 기술을 사용해 디렉토리에 액세스할 수 있는 컨텍스트 전환 버그를 적용)

 

5. 악성 iframe은 이제 권한이 상승되어 악성 파일이 들어있는 폴더의 모든 파일을 읽을 수 있음

 

- 이 연구원의 경우 다운로드 폴더 경로: file:///home/user/

 

6. 악성 파일은 SSH 비밀키와 같이 포함된 폴더에 있는 모든 파일을 읽을 수 있고, 파일 내용으로 공격자의 악성 웹사이트에 1개 이상의 fetch(가져오기) 요청을 더하여 모든 파일을 훔칠 수 있음

 

7. 공격자는 악성 파일이 들어있는 폴더의 모든 파일을 사용하여 이 취약점을 악용할 수 있음

 

공격자는 사용자가 파이어폭스 웹 브라우저에서 악성 HTML 파일을 다운로드하고 연 후, 악성 행위를 하도록 유도하는 가짜 버튼을 클릭하도록 해 공격을 성공적으로 수행할 수 있다.

 

Tawily는 악성 HTML 페이지에서 버튼을 클릭하자마자 위의 모든 단계가 사용자 모르게 비밀리에 일어날 수 있다고 언급했다.

 

전문가는 해당 결함을 모질라에 보고했지만, 해당 이슈를 수정할 의도가 없는 것으로 보인다. 모질라는 “SOP 정책을 구현하여 모든 파일 ://URL이 동일한 폴더 및 하위 폴더에 있는 파일에 액세스 할 수 있다.”고 답변했다.