“터닝 테이블” 기술, 모든 윈도우 커널 보호 장치 우회해

New "Turning Tables" Technique Bypasses All Windows Kernel Mitigations

보안 연구원들이 윈도우 OS의 커널 보호 장치를 우회할 수 있는 새로운 익스플로잇 기술을 발견했다고 밝혔습니다.

이 기술은 터닝 테이블이라 명명 되었으며, 윈도우의 페이지 테이블을 악용합니다.

페이지 테이블은 가상 메모리와 물리적 메모리 사이의 매핑을 저장하는데 사용 되며, 윈도우 뿐만 아니라 모든 운영 체제에 공통으로 사용 되는 데이터 구조입니다. 가상 주소는 OS 프로세스가 실행하는 프로그램들이 사용하며 물리적 주소는 하드웨어 구성요소들, 특히 RAM 서브 시스템이 사용합니다.

물리적 메모리(RAM)은 제한 되어 있기 때문에, OS는 많은 프로세스들이 동일한 코드를 저장하고 필요시 호출할 수 있는 “공유 코드 페이지”를 생성합니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-turning-tables-technique-bypasses-all-windows-kernel-mitigations/>

연구원들은 터닝 테이블 기술이 다른 프로세스들의 실행에 영향을 미치기 위해 “공유 코드 페이지”를 악의적으로 변경하는 악성 코드를 생성하는 방식으로 이루어진다고 밝혔습니다.

이를 통해, 터닝 테이블 기술은 공격자들이 자신의 코드의 권한을 SYSTEM과 같은 더 높은 수준으로 상승시킵니다.

연구원들은 공격으로부터 프로그램을 보호하기 위한 목적으로 생성 되는 격리 된 환경인 샌드박스에서 실행 되는 응용 프로그램을 변경시키는데도 이 기술을 사용할 수 있다고 밝혔습니다. 예를 들어, 터닝 테이블 기술은 크롬과 같이 샌드박스 내에서 실행 되는 브라우저를 감염 시키는데도 사용할 수 있습니다.

macOS, Linux에도 영향을 미치는 터닝 테이블

게다가, 이 페이지 테이블의 컨셉은 애플 및 리눅스 프로젝트에서도 사용하고 있습니다. 따라서 이론적으로 macOS와 Linux도 이 기술에 취약합니다. 하지만 연구원들은 아직까지 이 환경에서는 기술이 동작 가능한지 입증하지는 않았습니다.

이 기술의 가장 뛰어난 점은, 최근 몇 년 동안 마이크로소프트가 윈도우 OS에 추가한 커널 수준의 보안 장치들을 모두 우회한다는 것입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-turning-tables-technique-bypasses-all-windows-kernel-mitigations/>

연구원들은 마이크로소프트에 터닝테이블 기술에 관해 제보했습니다. 마이크로소프트의 대변인은 이와 관련해 아직까지 아무런 입장을 보이지 않은 상태입니다.

연구원들은 BSides Las Vegas 보안 컨퍼런스에서 그들의 연구를 발표했습니다. 아래 영상의 8:57:26 부분부터 터닝 페이지 기술과 관련 된 발표가 시작 됩니다. 발표 슬라이드는 여기에서 찾아볼 수 있습니다.

출처 :

https://www.bleepingcomputer.com/news/security/new-turning-tables-technique-bypasses-all-windows-kernel-mitigations/