|
Microsoft PatchGuard를 우회하는 새로운 PoC 릴리즈 침해사고분석팀 2021.06.01 |
|
|
보안 연구원은 Kento Oki는 PatchGuard Windows 보안 기능에서 버그를 발견했다. 해당 버그는 서명되지 않은 악의적인 코드를 Windows 커널에 로드할 수 있다.
PatchGuard는 2005년에 Windows XP와 Windows Server 2003 SP1의 64bit 버전에서 소개되었다.
PatchGuard는 Kernel Patch Protection으로도 알려져 있는데, Windows OS의 64bit 버전 커널이 패치되지 못하게 막도록 설계된 소프트웨어 보호 유틸리티이다. 커널 패치를 막는 이유는 루트킷 감염이나 커널 레벨에서의 악의적인 코드의 실행을 막기 위함이다.
연구원 Kento는 아래 두 번째 링크 블로그에 공격의 기술적인 세부사항을 공개했고, 공격 PoC 코드를 함께 릴리즈했다.
[ 그림1. 해당 버그와 관련된 커널 디버깅 메시지 ]
이 소식이 처음 보고된 기사에 의하면 Microsoft는 해당 취약점을 아직 해결하지 않은 상태이다.
모든 Windows 64비트 버전이 PatchGuard 기능을 지원하기 때문에 해당 버그는 매우 위험하다고 볼 수 있다. 또한, 커널 패치는 공격자들이 악의적인 코드를 커널 모드로 실행할 수 있게 허용할 수 있는데, 이는 맬웨어가 높은 권한에서 실행될 수 있음을 의미한다.
몇 년 동안 보안 전문가들은 GhostHook 후킹 기술과 같이 PatchGuard를 우회하는 여러 공격을 고안했다. 하지만 Microsoft는 지난 몇 년 간 연구원들이 고안한 PatchGuard 우회 공격과 관련된 패치를 하지 않았고, 관련 이슈를 보안 문제가 아니라고 분류했다. 전문가들은 이러한 해킹 기술이 Windows 시스템에 루트킷을 설치하고 보안 조치를 우회하는데 사용할 수 있다고 지적했다.
출처 https://securityaffairs.co/wordpress/118427/hacking/microsoft-patchguard-kpp-bypass.html https://www.godeye.club/2021/05/22/001-bypass-patchguard-pssetcreateprocessnotifyroutine.html https://github.com/kkent030315/NoPatchGuardCallback https://www.zdnet.com/article/new-bypass-disclosed-in-microsoft-patchguard-kpp/ |
