Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Windows 10 버그로 인해 특정 경로를 열 때 BSOD 충돌이 발생한다
작성일 2021-01-18 조회 64

Windows 10

 

 

Windows 10의 버그는 브라우저의 주소 표시줄에서 특정 경로를 열거나 다른 Windows 명령어를 사용하면 운영 체제가 Blue Screen of Death와 충돌한다.

 

지난 주, BleepingComputer는 Windows 보안 연구원이 트위터에 공개한 두 가지 버그가 다양한 공격에서 공격자들에 의해 악용될 수 있다는 사실을 알게 되었다.

 

첫 번째 버그는 권한이 없는 사용자 또는 프로그램에서 단일 명령을 입력하여 NTFS 볼륨이 손상된 것으로 표시되도록 한다. chkdsk는 많은 테스트에서 이 문제를 해결했지만 테스트 중 하나에서 명령으로 인해 하나의 드라이드가 손상되어 Windows가 시작되지 않는 것을 보여줬다.

 

 

이 경로를 열면 BSOD가 발생한다

 

10월부터 Windows 보안 연구원 Jonas Lykkegaard는 Chrome 주소 표시줄을 입력할 때 Windows 10이 즉시 충돌하고 BSOD를 표시하는 경로에 대해 여러 번 트윗했다.

 

개발자가 Windows 장치와 직접 상호 작용하려는 경우 Win32 장치 네임 스페이스 경로를 다양한 Windows 프로그래밍 함수에 대한 인수로 전달할 수 있다. 예를 들어, 이를 통해 응용 프로그램은 파일 시스템을 거치지 않고 실제 Disk와 직접 상호 작용할 수 있다.

 

Likkegaard는 BleepingComputer에 'console multiper driver'를 위한 Win32 장치 네임스페이스 경로를 발견했으며, '커널/사용자 모드 ipc'에 사용되었다고 말했다. 권한이 낮은 사용자라도 다양한 방법으로 경로를 열면 Windows 10이 충돌한다.

 

\\.\global\root\device\condrv\kernelconnect

  

이 장치에 연결할 때 개발자는 'attach'확장 속성을 전달하여 장치와 올바르게 통신해야 한다.

 

 

첨부 확장 속성을 표시하는 CDCreateKernlConnection

[그림1. 'attach' 확장 특성을 보여주는 CDCreateKernlConnection]

 

 

Likkegaard는 부적절한 오류 검사로 인해 속성을 전달하지 않고 경로에 연결하려고 하면 Windows 10에서 BSOD(Blue Screen of Death) 충돌이 발생하는 예외가 발생한다는 것을 발견했다.

 

또한, 권한이 낮은 Windows 사용자가 이 경로를 사용하여 장치에 연결을 시도할 수 있으므로 컴퓨터에서 실행되는 모든 프로그램이 Windows 10을 쉽게 충돌시킬 수 있다.

 

테스트에서 이 버그가 Windows 10 버전 1709 이상에 있음을 확인했다.

 

Microsoft의 대변인은 BleepingComputer에 "Microsoft는 가능한 한 빨리 영향을 받는 장치에 대한 업데이트를 제공할 것입니다."라고 말했다.

 

 

위협 행위자는 버그를 악용할 수 있다

 

이 버그가 원격 코드 실행 또는 권한 상승에 악용 될 수 있는지 여부는 확인되지 않았지만 현재 형태로는 컴퓨터에 대한 서비스 거부 공격으로 사용될 수 있다.

 

Likkegaard는 \\.\global\root\device\condrv\kernelconnect를 가리키는 설정이 있는 Windows URL 파일(.url)을 공유했다. 파일이 다운로드되면 Windows 10은 문제가 있는 경로에서 URL 파일의 아이콘을 렌더링하여 Windows 10을 자동으로 충돌시킨다.

 

 

.  globalroot  device  condrv  kernelconnect에 액세스하여 발생하는 BSOD

[그림2. \\.\global\root\device\condrv\kernelconnect에 액세스하여 발생하는 BSOD]

 

 

BleepingComputer는 Windows 로그인 시 자동으로 BSOD를 발생시키는 방법을 포함하여 해당 버그를 악용 할 수 있는 다양한 방법을 발견했다. 

 

실제 시나리오에서 이 버그는 네트워크에 액세스 할 수 있고 공격 중에 흔적을 숨기려는 위협 행위자에 의해 악용 될 수 있다.

 

관리자 자격 증명이 있는 경우 네트워크의 모든 Windows 10 장치에서 해당 경로에 액세스하는 명령을 원격으로 실행하여 충돌을 일으킬 수 있다. 또한, 네트워크에 혼란을 발생시켜 조사가 지연되거나 관리 제어가 특정 컴퓨터에 대한 공격을 탐지하지 못하게 할 수 있다.

 

2017년 대만 극동 국제 은행(FEIB)의 은행 강도 사건에서 위협 행위자들이 유사한 공격 시나리오를 사용했다. 이 공격에서 공격자는 공격에 대한 조사를 지연시키기 위해 네트워크에 Hermes 랜섬웨어를 배포했다.

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/windows-10-bug-causes-a-bsod-crash-when-opening-a-certain-path/

첨부파일 첨부파일이 없습니다.
태그 Windows 10 버그  BSOD 충돌