해커는 Windows 커널 수준을 낮추어 루트킷을 만들고 컴퓨터를 손상시킵니다.
해커는 드라이버 서명 적용과 같은 중요한 보안 기능을 우회하기 위해 Windows 커널 구성 요소를 다운그레이드하는 기술을 사용하고 있습니다. 이를 통해 완전히 업데이트된 시스템에 루트킷을 배포하여 소수의 사용자가 인지하고 있는 Windows 컴퓨터의 정보 보안을 위협할 수 있습니다.
SafeBreach의 보안 연구원 Alon Leviev는 Windows에서 업데이트 하이재킹을 허용하는 취약점을 발견했습니다. Microsoft는 이 문제가 정의된 보안 경계를 넘지 않는다고 주장했지만 현실은 여전히 해커의 침입 가능성을 보여줍니다.
Leviev는 Windows 시스템에서 사용자 정의 다운그레이드를 생성하고 DLL, 드라이버 및 NT 커널과 같은 구성 요소를 통해 발견된 취약점을 노출시키기 위해 Windows Downdate 도구를 만들었습니다. 이로 인해 고정된 취약점이 공격에 취약해지며, 이는 커널의 보안이 여전히 위험에 처해 있음을 의미합니다.
이러한 공격은 DSE(Driver Signature Enforcement)를 우회하여 서명되지 않은 커널 드라이버를 업로드하고 루트킷을 배포하는 기능을 노출시킬 수 있습니다. 이는 보안 조치를 비활성화할 뿐만 아니라 공격자의 활동을 숨겨 침입 탐지를 어렵게 만듭니다.
해커는 업데이트 프로세스를 통해 Windows 커널 구성 요소를 다운그레이드함으로써 DSE 취약점을 악용하고 루트킷 악성 코드를 효과적으로 배포할 수 있습니다. 이는 완전히 업데이트된 Windows 시스템에 예상치 못한 공격이 발생할 수 있는 잠재적인 경로를 열어줍니다.
해커는 이제 기능을 우회하기 위해 Windows 커널 구성 요소를 다운그레이드할 수 있습니다. 보안 운전자 서명 시행만큼 중요합니다. 이 기술을 통해 배포할 수 있습니다. 루트킷 완전히 업데이트된 시스템에서. 이는 Windows 컴퓨터의 보안 위험이 극소수의 사용자가 인식할 수 없는 잠재적인 큰 위험임을 의미합니다.
특히 이러한 공격은 Windows 업데이트 프로세스를 제어하여 발생할 수 있습니다. 해커는 운영 체제의 업데이트 상태를 변경하지 않고도 운영 체제에서 수정한 취약점이 포함된 오래된 소프트웨어 구성 요소를 업데이트된 컴퓨터에 도입할 수 있습니다. 이로 인해 사용자가 최상의 보호 기능을 갖추고 있다고 신뢰하는 현대 시스템에 심각한 보안 격차가 발생합니다.
윈도우 다운그레이드
SafeBreach의 보안 연구원 Alon Leviev는 이 중요한 문제를 보고하고 업데이트 하이재킹 취약점을 발견하는 데 도움을 주었습니다. Microsoft는 이 문제가 정의된 보안 경계를 넘지 않는다고 주장하여 이러한 우려를 일축했지만, 한 명의 공격자만 관리 권한으로 커널 코드를 실행할 수 있어야 침입이 가능하다는 관행이 남아 있습니다.
올해 BlackHat 및 DEFCON 보안 컨퍼런스에서 Leviev는 이 공격이 실행 가능하고 더 심각하며 아직 완전히 수정되지 않았으며 이로 인해 추가 다운그레이드 또는 재공격이 발생할 가능성이 있음을 보여주었습니다. Leviev는 Windows Downdate라는 도구를 사용하여 사용자가 완전히 업데이트된 것처럼 보이지만 실제로는 취약한 대상 시스템을 노출하는 사용자 정의 다운그레이드를 생성할 수 있도록 합니다. 취약점은 이전에 DLL, 드라이버 및 NT 커널과 같은 레거시 구성 요소를 통해 발견되었습니다.
Leviev는 “완전히 패치된 Windows 컴퓨터를 과거의 취약점에 취약하게 만들고, 패치된 취약점을 패치되지 않은 상태로 만들 수 있었으며, ‘완전히 패치된’ ‘패칭’이라는 용어가 전 세계 모든 Windows 컴퓨터에서 사실상 의미가 없게 만들 수 있었습니다.”라고 Leviev는 말했습니다.
최근 몇 년 동안 커널 보안이 눈에 띄게 향상되었지만 Leviev는 여전히 드라이버 서명 적용(DSE) 기능을 우회할 수 있었으며 이는 공격자가 업로드할 수 있음을 암시합니다. 커널 드라이버 서명 없이 루트킷 악성 코드를 배포합니다. 이는 보안 조치를 비활성화할 뿐만 아니라 시스템 침입을 감지할 수 있는 공격자의 활동을 숨깁니다.
“최근 몇 년 동안 커널 보안에 중요한 개선이 있었습니다. 그러나 관리권한으로 침해될 수 있다고 가정하더라도 공격자들에게 일을 더 쉽게 만드는 허점은 항상 존재한다”고 레비예프는 강조했다.
Leviev는 자신의 공격에 “ItsNotASecurityBoundary” DSE 우회라는 라벨을 붙였습니다. 이는 변경 불가능한 파일 변조 취약점에 의존하기 때문입니다. 이는 Elastic의 Gabriel Landau가 커널 권한으로 임의 코드 실행을 달성하는 방법으로 설명하는 Windows의 새로운 취약점 클래스입니다. Landau가 이 취약점을 보고한 후 Microsoft는 관리자에서 커널로의 권한 상승을 방지하기 위해 “ItsNotASecurityBoundary” 취약점을 신속하게 패치했습니다. 그러나 이 취약점을 패치하더라도 Leviev가 지적한 성능 저하 공격으로부터 여전히 완전히 보호되지는 않습니다.
커널을 대상으로 함
Leviev가 오늘 발표한 새로운 연구에서는 공격자가 Windows 업데이트 프로세스를 악용하여 DSE 보호를 우회할 수 있는 방법을 보여줍니다. 이는 완전히 업데이트된 Windows 11 시스템에서도 패치가 적용된 구성 요소를 다운그레이드하여 수행할 수 있습니다. DSE 실행을 담당하는 ‘ci.dll’ 파일을 모든 드라이버 시그니처를 무시하는 패치되지 않은 버전으로 교체하면 공격이 가능하다. 이 기술은 본질적으로 Windows의 보호 검사를 효과적으로 무효화합니다.
이 교체 프로세스는 Windows 업데이트 프로세스 내에서 트리거됩니다. 이 모든 일은 Windows가 최신 버전의 ci.dll을 확인하기 시작한 직후 취약한 ci.dll 복사본이 메모리에 로드되는 이중 읽기 조건을 악용하여 발생합니다.
이 소위 “경주 창” 이벤트를 통해 Windows는 여전히 파일을 확인했다고 생각할 때 취약한 ci.dll을 로드하여 서명되지 않은 드라이버를 커널에 업로드할 수 있습니다. 이는 Windows 업데이트 프로세스의 허점을 보여줄 뿐만 아니라 공격자가 악성 코드를 배포할 수 있는 잠재적 경로를 열어줍니다.
아래 제시된 비디오에서 Leviev는 성능 저하 공격을 통해 DSE 패치를 복원하고 Windows 11 23H2를 실행하는 완전히 패치된 컴퓨터에서 해당 구성 요소를 활용하는 방법을 보여주었습니다. 그는 또한 Microsoft의 VBS(가상화 기반 보안)를 비활성화하거나 우회하는 방법을 주저하지 않고 설명합니다. 이는 보안 커널 코드 무결성 메커니즘(skci.dll) 및 인증된 사용자 자격 증명과 같은 필수 리소스와 보안 자산을 보호하는 Windows용 격리된 환경을 만드는 기능입니다.
기사의 목차
