RCE Vulnerability (CVE-2024-30052) Allow Attackers To Exploit Visual Studio via Dump Files
RCE Vulnerability (CVE-2024-30052) Allow Attackers To Exploit Visual Studio via Dump Files
The researcher investigated the potential security risks associated with debugging dump files in Visual Studio by focusing on vulnerabilities
gbhackers.com
- 취약점 개요
- CVE-2024-30052: Visual Studio에서 덤프 파일을 디버깅할 때 원격 코드 실행(RCE)이 가능한 취약점
- 위험성: 악성 소스 파일이 임베드된 덤프 파일을 디버깅할 때, Visual Studio가 이를 외부 프로그램으로 열어 임의 코드 실행 가능
- 발견자: 연구자들은 메모리 손상이나 특정 PDB 파일 구성요소에 의존하지 않는 공격 벡터를 발견
- 취약점 세부 내용
- Portable PDB: Microsoft는 PDB 형식을 개선해 크로스 플랫폼 지원과 최적화를 제공
- 임베디드 PDB: -debug:embedded 스위치를 통해 임베디드 PDB를 생성, 덤프 파일이나 오래된 버전 디버깅 시 외부 PDB 없이도 실행 가능
- Visual Studio는 덤프 파일 내 임베디드된 소스 파일을 신뢰, 악성 확장자가 포함된 경우 이를 외부 프로그램으로 열어 공격자가 임의의 코드를 실행할 수 있음
- PoC 및 악용 방법
- 연구자는 PDF 파일을 합법적인 소스 파일로 교체하고 PDB 구조를 수정해 Visual Studio가 이를 유효한 소스 파일로 인식하게 만듦
- 이 수정된 PDB가 포함된 메모리 덤프를 디버깅할 때 Visual Studio가 외부 편집기를 사용해 PDF 파일을 열도록 유도
- CHM, HTA, PY 파일 확장자가 사용되어 악성 코드 실행 가능
- CHM: VB 코드를 포함할 수 있는 도움말 파일 형식
- HTA: VB 코드 포함 가능, HTML과 유사한 파일 형식
- PY: Python 스크립트 실행 가능
- 연구자는 여러 파일 형식을 악용하여 Visual Studio에서 calc.exe를 실행하는 PoC(공격 개념 증명) 코드 작성
- 대응 방안
- CVE-2024-30052에 대한 취약점 해결책: CVsUIShellOpenDocument::OpenStandardEditor 함수에 새로운 검사가 추가되어, 플래그 인자의 가장 높은 비트가 설정되면 오류 코드를 반환하여 임베디드 소스 실행을 차단
- 임베디드 소스 파일의 유효성 검사 및 정화(Sanitization) 필수: 악성 소스 파일이 디버깅 중 실행되지 않도록 철저한 검증 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Okta, 로그인 정책 우회 취약점 보안 조치 권고 (0) | 2024.10.15 |
|---|---|
| iPhone 및 iPad 비밀번호 노출 취약점 (CVE-2024-44207) 및 업데이트 권고 (1) | 2024.10.15 |
| Cacti 네트워크 모니터링 도구 취약점 - 원격 코드 실행 위험 (0) | 2024.10.15 |
| Zimbra Collaboration 취약점 CVE-2024-45519 분석 및 대응 방안 (1) | 2024.10.15 |
| Apache Avro SDK 원격 코드 실행 취약점 CVE-2024-47561 분석 (0) | 2024.10.15 |