상세 컨텐츠

본문 제목

윈도우 프린트 스풀러의 패치되지 않은 취약점, 관리자 권한으로 악성코드 실행 허용

국내외 보안동향

by 알약4 2020. 8. 7. 10:52

본문

Unpatched bug in Windows print spooler lets malware run as admin


연구원들이 윈도우 프린팅 서비스 내 취약점을 수정하는 마이크로소프트의 패치를 우회하는 방법을 발견했습니다. 공격자가 이를 악용할 경우 상승된 권한으로 악성 코드를 실행할 수 있습니다.


CVE-2020-1048로 등록된 초기 취약점은 지난 5월 패치되었으며, 이번 달 마이크로소프트의 정기 보안 패치 시 또 다시 수정될 예정입니다.


새로운 패치 준비 중


SafeBreach LabsPeleg HadarTomer Bar가 발견 및 제보한 이 취약점은 (CVE-2020-1048) 프린팅 프로세스를 관리하는 윈도우 프린트 스풀러에 존재합니다.


이 취약점을 우회하는 방법은 또 다른 취약점으로 등록되었습니다. (CVE-2020-1337) 패치는 811일 공개될 예정입니다.


새로운 취약점에 대한 기술적 세부 사항은 여전히 공개되지 않은 상태입니다. 하지만 패치가 공개된 후 이 두 취약점을 실시간으로 악용하는 것을 보여주는 PoC 미니필터 드라이버와 함께 공개될 예정입니다.

 

악성코드 설치하기


스풀러가 파싱하는 악성 파일을 생성하는 방식으로 CVE-2020-1048 취약점을 악용하는 것이 가능합니다. 한 타입은 SID와 같은 프린트 작업을 위한 메타데이터를 포함하는 .SHD (Shadow) 포맷입니다. 또 다른 타입은 프린터할 데이터가 포함된 SPL(Spool 파일)입니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/>



연구원들은 기술 보고서를 통해 아래와 같이 밝혔습니다.


다른 컴포넌트에서도 파싱 및 사용될 수 있는 데이터를 스풀러로 직접 보낼 수 있는 편리한 방법을 제공한다는 점에서 이는 매우 흥미롭습니다.”


연구원들은 인쇄 프로세스를 분석하고 작동 방식을 이해하여 프로세스가 시작된 후 ProcessShadowJobs 기능이 모든 SHD 파일을 처리한다는 것을 발견했습니다.


윈도우 프린터 스풀러는 SYSTEM 권한으로 실행되며 모든 사용자가 SHD 파일을 해당 폴더에 드롭할 수 있기 때문에, 연구원들은 상승된 권한을 필요하는 작업인 ‘system32 디렉토리에 쓰기가 가능한 방법을 찾으려 했습니다.


Hadar BarSYSTEM SID를 포함하도록 SHD 파일을 수정하고 이를 스풀러 폴더에 추가한 후 컴퓨터를 재시작하여 스풀러가 윈도우에서 가장 권한이 높은 계정의 권한을 통해 해당 작업을 수행할 수 있다는 것을 발견했습니다.


연구원들은 SPL 파일로 위장한 임의 DLL(wbemcomn.dll)과 함께 악성 SHD 파일을 스풀러의 폴더로 복사했습니다. 재부팅 후 이들은 권한 상승에 성공하여 System32 폴더에 그들의 DLL을 쓸 수 있었습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/>



보너스로 여러 윈도우 서비스가 서명을 확인하지 않았기 때문에 우리 DLL (wbemcomn.dll)을 로드했습니다. 그리고 존재하지 않는 경로로부터 해당 DLL을 로드하려고 시도했습니다. 이는 우리가 코드를 실행할 수도 있다는 것을 의미합니다.”


이 악용 방식은 업데이트된 시스템에서는 더 이상 동작하지 않습니다. 하지만 연구원들은 마이크로소프트의 패치를 우회해 유사한 결과를 낼 수 있다는 것을 발견했습니다.


위 언급된 어떤 문제를 악용하더라도 공격자가 호스트를 해킹하는 것은 불가능하지만, 2단계 공격에서 이를 악용할 경우 전체 시스템 권한 탈취로 이어질 수 있습니다.


연구원들은 목요일 Black Hat USA 보안 컨퍼런스에서 이를 발표할 예정입니다.




출처:

https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/


저작자표시

'국내외 보안동향' 카테고리의 다른 글

ProctorU, 데이터가 온라인에 공개된 후에야 유출 사실 인정  (0) 2020.08.10
TeamViewer, 해커가 사용자의 PC에 접근하도록 허용하는 취약점 수정  (0) 2020.08.10
해커들, 악성 페이로드 배포 위해 마이크로소프트 팀즈 업데이터 악용 가능  (0) 2020.08.07
트위터, 안드로이드 앱에서 다이렉트 메시지함에 접근 가능했던 취약점 수정  (0) 2020.08.06
캐논, Maze 랜섬웨어 공격받아 10TB 데이터 도난당한 것으로 알려져  (0) 2020.08.06

관련글 더보기

댓글 영역

티스토리툴바