윈도우 커널 취약점 발견! Windows2000부터 Windows10까지 모든 버전의 윈도우가 영향을 받아

최근 보안연구원들은 Windows 커널에서 제로데이 취약점을 발견하였는데, 해당 취약점은 Windows2000부터 Windows10까지 모든 버전의 윈도우가 영향을 받는 것으로 확인되었습니다. 

악성코드가 해당 취약점을 악용하면 보안제품의 탐지를 우회할 수 있습니다. 하지만 사용의 난이도가 꽤 높은 것으로 확인되었습니다. 

취약점 악용

PsSetLoadImageNotifyRoutine은 유효하지 않은 모듈명을 반환하기 때문에, 공격자는 악성 프로그램을 정상적인 프로그램처럼 위장시킬 수 있습니다. 

보안 연구원은 윈도우 커널 코드를 분석하던 중 해당 취약점을 발견하였습니다.  

해당 취약점은 17년동안 모든 버전의 윈도우(Win10 포함)에 존재하는 것으로 확인되었습니다. 

PsSetLoadImageNotifyRoutine은 MS가 사용하는 공지 매커니즘으로, 주로 프로그램이 새로 등록된 드라이버를 실행할 때 알림시 사용합니다.  PE미러가 가상 메모리에 들어갈 때, 시스템도 동일하게 감지할 수 있는데, 이 때문에 백신들이 해당 매커니즘을 이용하여 악성코드의 악성행위를 탐지하는 것입니다. 

MS는 패치를 공개하지 않을듯 합니다. 

보안연구원 Misgav는 Microsoft Security Response Center에 확인해 보았지만, MS쪽에서는 이것을 보안취약점으로 인식하지 않는다고 밝혔습니다. 문제의 관건은, 몇몇 보안 프로그램들이 해당 매커니즘을 이용하여 프로그램의 악성행위를 탐지한다는 점입니다. 해당 프로젝트에 대한 연구는 현재도 진행중입니다. 

참고 : 

https://www.bleepingcomputer.com/news/security/bug-in-windows-kernel-could-prevent-security-software-from-identifying-malware/