40개 이상의 Windows 드라이버에서 권한 상승 취약점 발견
3 분. 읽다
에 게시됨
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
사이버 보안 회사인 Eclypsium의 연구원들은 40개의 Microsoft 인증 하드웨어 공급업체의 20개 이상의 서로 다른 드라이버에 권한 상승 공격을 가하는 데 악용될 수 있는 잘못된 코드가 포함되어 있다고 밝혔습니다.
올해 라스베이거스에서 열린 DEF CON 컨퍼런스에서 Eclypsium은 ASUS, Huawei, Intel, NVIDIA 및 Toshiba를 포함하여 영향을 받는 주요 BIOS 공급업체 및 하드웨어 제조업체 목록을 발표했습니다.
드라이버는 모든 버전의 Windows에 영향을 미치므로 수백만 명이 위험에 처해 있습니다. 드라이버는 잠재적으로 악의적인 응용 프로그램이 사용자 수준에서 커널 권한을 얻도록 허용하여 펌웨어 및 하드웨어에 직접 액세스할 수 있습니다.
맬웨어는 펌웨어에 직접 설치할 수 있으므로 운영 체제를 다시 설치하는 것도 해결책이 아닙니다.
이러한 모든 취약점으로 인해 드라이버는 프로세서 및 칩셋 I/O 공간, MSR(모델별 레지스터), CR(제어 레지스터), 디버그에 대한 읽기 및 쓰기 액세스와 같은 하드웨어 리소스에 대한 높은 권한의 액세스를 수행하는 프록시 역할을 할 수 있습니다. 레지스터(DR), 물리적 메모리 및 커널 가상 메모리. 이것은 공격자를 사용자 모드(Ring 3)에서 OS 커널 모드(Ring 0)로 이동할 수 있으므로 권한 상승입니다. 보호 링의 개념은 각 내부 링에 점진적으로 더 많은 권한이 부여되는 아래 이미지에 요약되어 있습니다. 관리자도 다른 사용자와 함께 링 3(더 깊은 곳은 아님)에서 작동한다는 점에 유의하는 것이 중요합니다. 커널에 대한 액세스는 공격자에게 운영 체제에 사용할 수 있는 가장 권한 있는 액세스 권한을 부여할 뿐만 아니라 시스템 BIOS 펌웨어와 같은 더 높은 권한을 가진 하드웨어 및 펌웨어 인터페이스에 대한 액세스 권한도 부여할 수 있습니다.
취약한 드라이버가 시스템에 이미 있는 경우 악성 응용 프로그램은 권한을 높이기 위해 해당 드라이버를 검색하기만 하면 됩니다. 드라이버가 없으면 악의적인 응용 프로그램이 드라이버를 가져올 수 있지만 드라이버를 설치하려면 관리자 승인이 필요합니다.
드라이버는 필요한 권한뿐만 아니라 변경 메커니즘도 제공합니다.
ZDNet에 보낸 성명서에서 Eclypsium의 수석 연구원인 Mickey Shkatov는 다음과 같이 언급했습니다.
Microsoft는 HVCI(Hypervisor-enforced Code Integrity) 기능을 사용하여 보고된 드라이버를 블랙리스트에 올릴 것입니다.
이 기능은 7세대 이상 Intel 프로세서에서만 사용할 수 있습니다. 따라서 구형 CPU 또는 HCVI가 비활성화된 최신 CPU는 드라이버를 수동으로 제거해야 합니다.
마이크로소프트는 또한 다음과 같이 덧붙였다.
취약한 드라이버를 악용하려면 공격자가 이미 컴퓨터를 손상시켜야 합니다.
링 3 권한 수준에서 시스템을 손상시킨 공격자는 커널 액세스 권한을 얻을 수 있습니다.
Microsoft는 다음과 같은 조언을 발표했습니다.
(활용) Windows Defender 응용 프로그램 제어를 사용하여 알려지지 않은 취약한 소프트웨어 및 드라이버를 차단합니다.
고객은 Windows 보안에서 지원 가능한 장치에 대한 메모리 무결성을 켜서 자신을 더욱 보호할 수 있습니다.
다음은 이미 드라이버를 업데이트한 모든 공급업체의 전체 목록입니다.
- ASROCK
- 아수스 텍 컴퓨터
- ATI 테크놀로지스(AMD)
- 바이오 스타 (Biostar)
- EVGA
- 게탁
- GIGABYTE
- 화웨이
- 인사이드
- 인텔
- 마이크로스타 인터내셔널(MSI)
- NVIDIA
- 피닉스 테크놀로지
- Realtek 반도체
- 슈퍼 마이크로
- 도시바