Google, Windows 8.1의 패치되지 않은 보안 취약점 공개

Google 연구원은 Windows 8.1의 패치되지 않은 보안 취약점을 공개했습니다. Google 연구원은 Google Security Research 페이지에 이 버그를 게시했으며 공개 기한은 90일입니다. 광범위하게 사용 가능한 패치 없이 90일이 경과하면 버그 보고서가 자동으로 공개됩니다. Microsoft가 버그를 인정했는지 또는 버그에 대해 작업 중인지 여부에 대한 정보는 없습니다. 하지만 매일 수백만 명이 사용하는 Windows 8과 같은 제품에 취약점을 게시하는 것은 Google의 무책임한 조치라고 생각합니다.

버그에 대해 다음 정보가 게시되었습니다.

Windows 8.1 업데이트에서 시스템 호출 NtApphelpCacheControl(코드는 실제로 ahcache.sys에 있음)을 사용하면 새 프로세스가 생성될 때 빠르게 재사용할 수 있도록 응용 프로그램 호환성 데이터를 캐시할 수 있습니다. 일반 사용자는 캐시를 쿼리할 수 있지만 작업이 관리자로 제한되어 있으므로 캐시된 항목을 새로 추가할 수 없습니다. 이것은 AhcVerifyAdminContext 기능에서 확인됩니다.

이 함수는 사용자가 관리자인지 판별하기 위해 호출자의 가장 토큰을 올바르게 확인하지 못하는 취약점이 있습니다. PsReferenceImpersonationToken을 사용하여 호출자의 가장 토큰을 읽은 다음 토큰의 사용자 SID와 LocalSystem의 SID를 비교합니다. 토큰의 가장 수준을 확인하지 않으므로 로컬 시스템 프로세스에서 스레드의 식별 토큰을 가져오고 이 확인을 우회할 수 있습니다. 이를 위해 PoC는 가장 토큰을 얻기 위해 BITS 서비스와 COM을 남용하지만 다른 방법이 있을 수 있습니다.

취약점을 악용하는 방법을 찾는 경우입니다. PoC에서 UAC 자동 승격 실행 파일(예: ComputerDefaults.exe)에 대한 캐시 항목이 만들어지고 RedirectExe shim이 regsvr32.exe를 다시 로드하도록 강제하는 regsvr32에 대한 앱 호환성 항목을 가리키도록 캐시를 설정합니다. 모든 실행 파일을 사용할 수 있지만 트릭은 남용하기에 적합한 기존 앱 호환 구성을 찾는 것입니다.

업데이트를 위한 코드 경로에 TCB 권한 검사가 있기 때문에 Windows 7이 취약한지 여부는 불분명합니다(플래그에 따라 우회할 수 있는 것처럼 보이지만). Windows 7에서 확인하려는 노력은 없었습니다. 참고: 이것은 UAC의 버그가 아니며 데모 목적으로 UAC 자동 상승을 사용하는 것입니다.

PoC는 Windows 8.1 업데이트(32비트 및 64비트 버전 모두)에서 테스트되었습니다. 확실하게 하려면 32비트에서 실행하는 것이 좋습니다. 확인하려면 다음 단계를 수행하십시오.

1) AppCompatCache.exe 및 Testdll.dll을 디스크에 저장합니다.
2) UAC가 활성화되어 있고, 현재 사용자가 분할 토큰 관리자이고, UAC 설정이 기본값인지 확인합니다(특정 실행 파일에 대한 프롬프트 없음).
3) "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll" 명령줄을 사용하여 명령 프롬프트에서 AppCompatCache를 실행합니다.
4) 성공하면 계산기가 관리자로 실행 중인 것으로 나타나야 합니다. 처음에 작동하지 않고 ComputerDefaults 프로그램을 받으면 3에서 익스플로잇을 다시 실행하면 처음 실행할 때 캐싱/타이밍 문제가 있는 것 같습니다.

출처: 구글 과 연락해주세요. 네오 윈