GN⁺: 윈도우 드라이버 서명 우회로 커널 루트킷 설치 가능성
(bleepingcomputer.com)Windows 드라이버 서명 우회
- 공격자들이 Windows 커널 구성 요소를 다운그레이드하여 드라이버 서명 강제 실행과 같은 보안 기능을 우회하고, 완전히 패치된 시스템에 루트킷을 설치할 수 있음.
- Windows 업데이트 프로세스를 제어하여 최신 시스템에 구식, 취약한 소프트웨어 구성 요소를 도입할 수 있음.
Windows 다운그레이드
- SafeBreach의 보안 연구원 Alon Leviev는 업데이트 인수 문제를 보고했으나, Microsoft는 이를 보안 경계를 넘지 않는다고 판단하여 무시함.
- Leviev는 BlackHat 및 DEFCON 보안 회의에서 공격이 가능함을 시연했으며, 문제는 여전히 해결되지 않음.
- 연구원은 Windows Downdate라는 도구를 발표하여, 사용자 정의 다운그레이드를 생성하고, 이미 수정된 취약점을 구식 구성 요소를 통해 노출시킬 수 있음.
- Leviev는 드라이버 서명 강제 실행(DSE) 기능을 우회하여, 서명되지 않은 커널 드라이버를 로드하고 보안 제어를 비활성화하는 루트킷 악성코드를 배포할 수 있음을 보여줌.
커널 타겟팅
- Leviev는 Windows 업데이트 프로세스를 악용하여 DSE 보호를 우회할 수 있는 방법을 설명함.
- 'ci.dll' 파일을 패치되지 않은 버전으로 교체하여 드라이버 서명을 무시하고 Windows의 보호 검사를 우회할 수 있음.
- 이 교체는 Windows 업데이트에 의해 트리거되며, 취약한 ci.dll 복사본이 메모리에 로드되는 동안 Windows가 최신 복사본을 확인하는 이중 읽기 조건을 악용함.
- VBS(가상화 기반 보안)를 비활성화하거나 우회하는 방법도 설명함.
GN⁺의 정리
- 이 기사에서는 Windows 시스템의 보안 취약점을 악용하여 드라이버 서명 강제 실행을 우회하고 루트킷을 설치할 수 있는 방법을 설명함.
- 이러한 공격은 Windows 업데이트 프로세스를 악용하여 패치된 구성 요소를 다운그레이드함으로써 가능해짐.
- 이는 보안 도구가 다운그레이드 절차를 면밀히 모니터링해야 함을 강조하며, 특히 중요한 보안 경계를 넘지 않는 경우에도 주의가 필요함.
- 비슷한 기능을 가진 다른 보안 도구로는 EDR(Endpoint Detection and Response) 솔루션이 추천됨.
Hacker News 의견
-
MS는 UAC가 보안 경계가 아니라고 주장함. 드라이버 서명 강제는 보안 기능이라고 하지만, 이 경우 보안 경계를 넘지 않는다고 주장함
-
Windows가 해킹에 취약한 이유에 대한 개념적 모델이 부족하다고 느끼는 사용자 의견
-
관리자 권한이 있는 사용자는 컴퓨터에 임의의 작업을 수행할 수 있음. 이 공격의 심각성을 높이는 미묘한 차이가 있는지 궁금해하는 사용자
-
Microsoft가 데모가 있음에도 불구하고 반대하는 것이 믿기 어렵다는 의견. Vimeo 계정에 다른 보안 발견이 많음
-
관리자 권한으로 커널 코드 실행을 통해 루트 사용자가 루트킷을 설치할 수 있음. 연구자가 Windows Downdate라는 도구를 발표함
-
Windows와 Linux에서 일반 권한 로컬 계정이 사실상 루트와 동등함. UAC와 sudo의 차이점에 대한 의견. 기본 설정에서 둘 다 제거하는 것이 더 나을 것이라는 의견
-
커널이 파일 공유 규칙을 강제하지만 메모리 매핑에 대한 충돌 권한을 확인하지 않음. Linux는 강제 잠금을 제거했음
-
공격이 의심스러울 정도로 간단함. 업데이트 프로세스를 속여 취약한 커널 구성 요소의 이전 버전을 설치함. MS가 이미 이 문제를 고려했을 것이라는 의견
-
Microsoft가 드라이버 서명을 요구했을 때의 어려움을 회상하는 사용자. 이 취약점을 발견한 Alon Leviev와 SafeBreach에 찬사를 보냄
-
Windows 11을 조작하여 더 나은 OS로 만들 수 있지만, 루트킷에 초점을 맞추자는 의견