포스팅 내용

국내외 보안동향

윈도우 프린트 스풀러의 패치되지 않은 취약점, 관리자 권한으로 악성코드 실행 허용

Unpatched bug in Windows print spooler lets malware run as admin


연구원들이 윈도우 프린팅 서비스 내 취약점을 수정하는 마이크로소프트의 패치를 우회하는 방법을 발견했습니다. 공격자가 이를 악용할 경우 상승된 권한으로 악성 코드를 실행할 수 있습니다.


CVE-2020-1048로 등록된 초기 취약점은 지난 5월 패치되었으며, 이번 달 마이크로소프트의 정기 보안 패치 시 또 다시 수정될 예정입니다.


새로운 패치 준비 중


SafeBreach LabsPeleg HadarTomer Bar가 발견 및 제보한 이 취약점은 (CVE-2020-1048) 프린팅 프로세스를 관리하는 윈도우 프린트 스풀러에 존재합니다.


이 취약점을 우회하는 방법은 또 다른 취약점으로 등록되었습니다. (CVE-2020-1337) 패치는 811일 공개될 예정입니다.


새로운 취약점에 대한 기술적 세부 사항은 여전히 공개되지 않은 상태입니다. 하지만 패치가 공개된 후 이 두 취약점을 실시간으로 악용하는 것을 보여주는 PoC 미니필터 드라이버와 함께 공개될 예정입니다.

 

악성코드 설치하기


스풀러가 파싱하는 악성 파일을 생성하는 방식으로 CVE-2020-1048 취약점을 악용하는 것이 가능합니다. 한 타입은 SID와 같은 프린트 작업을 위한 메타데이터를 포함하는 .SHD (Shadow) 포맷입니다. 또 다른 타입은 프린터할 데이터가 포함된 SPL(Spool 파일)입니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/>



연구원들은 기술 보고서를 통해 아래와 같이 밝혔습니다.


다른 컴포넌트에서도 파싱 및 사용될 수 있는 데이터를 스풀러로 직접 보낼 수 있는 편리한 방법을 제공한다는 점에서 이는 매우 흥미롭습니다.”


연구원들은 인쇄 프로세스를 분석하고 작동 방식을 이해하여 프로세스가 시작된 후 ProcessShadowJobs 기능이 모든 SHD 파일을 처리한다는 것을 발견했습니다.


윈도우 프린터 스풀러는 SYSTEM 권한으로 실행되며 모든 사용자가 SHD 파일을 해당 폴더에 드롭할 수 있기 때문에, 연구원들은 상승된 권한을 필요하는 작업인 ‘system32 디렉토리에 쓰기가 가능한 방법을 찾으려 했습니다.


Hadar BarSYSTEM SID를 포함하도록 SHD 파일을 수정하고 이를 스풀러 폴더에 추가한 후 컴퓨터를 재시작하여 스풀러가 윈도우에서 가장 권한이 높은 계정의 권한을 통해 해당 작업을 수행할 수 있다는 것을 발견했습니다.


연구원들은 SPL 파일로 위장한 임의 DLL(wbemcomn.dll)과 함께 악성 SHD 파일을 스풀러의 폴더로 복사했습니다. 재부팅 후 이들은 권한 상승에 성공하여 System32 폴더에 그들의 DLL을 쓸 수 있었습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/>



보너스로 여러 윈도우 서비스가 서명을 확인하지 않았기 때문에 우리 DLL (wbemcomn.dll)을 로드했습니다. 그리고 존재하지 않는 경로로부터 해당 DLL을 로드하려고 시도했습니다. 이는 우리가 코드를 실행할 수도 있다는 것을 의미합니다.”


이 악용 방식은 업데이트된 시스템에서는 더 이상 동작하지 않습니다. 하지만 연구원들은 마이크로소프트의 패치를 우회해 유사한 결과를 낼 수 있다는 것을 발견했습니다.


위 언급된 어떤 문제를 악용하더라도 공격자가 호스트를 해킹하는 것은 불가능하지만, 2단계 공격에서 이를 악용할 경우 전체 시스템 권한 탈취로 이어질 수 있습니다.


연구원들은 목요일 Black Hat USA 보안 컨퍼런스에서 이를 발표할 예정입니다.




출처:

https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/


티스토리 방명록 작성
name password homepage