상세 컨텐츠

본문 제목

마이크로소프트, 윈도우에 루트킷 설치 가능했던 시큐어 부트 취약점 수정

국내외 보안동향

by 알약4 2021. 1. 14. 14:00

본문

 

 

Microsoft fixes Secure Boot bug allowing Windows rootkit installation

 

마이크로소프트가 시큐어 부트(Secure Boot) 내 보안 기능 우회 취약점을 수정했습니다. 이 취약점은 시큐어 부트가 활성화된 상태에서도 공격자가 OS의 부팅 프로세스를 해킹하도록 허용합니다.

 

시큐어 부트는 OS 시작 프로세스에서 루트킷이 로딩되는 것을 방지하기 위해 UEFI(Unified Extensible Firmware Interface) 펌웨어와 TPM(Trusted Platform Module) 칩을 통해 컴퓨터에서 신뢰할 수 없는 OS 부트 로더를 차단합니다.

 

공격자는 악성 코드를 컴퓨터의 UEFI 펌웨어에 삽입하거나, 윈도우 커널의 일부를 바꿔치기 하거나, 악의적으로 제작된 드라이버를 정식 윈도우 드라이버로 위장하는데 루트킷을 사용할 수 있습니다.

 

CVE-2020-0689로 등록된 보안 기능 우회 취약점은 악용 시도 시 대부분 성공적으로 동작하는 익스플로잇 코드가 공개되어 있는 상태입니다. 이 익스플로잇 코드를 사용하기 위해서는 특수 제작된 애플리케이션이 실행되어야 하는 전제조건이 있습니다.

 

마이크로소프트는 아래와 같이 밝혔습니다.

 

해당 취약점을 성공적으로 악용한 공격자는 시큐어 부트를 우회해 신뢰하지 않는 소프트웨어를 로드하게 될 수 있습니다.”

 

영향을 받는 윈도우 버전은 윈도우 10 릴리스(v1607 ~ v1909), 윈도우 8.1, 윈도우 서버 2012 R2, 윈도우 서버 2012입니다.

 

보안 업데이트 설치 방법

 

시큐어 부트가 활성화된 경우 신뢰할 수 없거나 알려진 취약한 것으로 알려진 타사 부트로더를 차단하기 위해 UEFI 펌웨어가 포함된 윈도우 기기는 시큐어 부트 금지 서명 데이터베이스(DBX)를 사용합니다.

 

마이크로소프트가 20211월의 패치 일부로 공개한 KB4535680 보안 업데이트에서는 DBX에서 취약한 것으로 알려진 타사 UEFI 모듈(부트로더)를 차단하는 방식으로 해당 취약점을 해결했습니다.

 

사용자들은 시큐어 부팅 취약점을 악용하도록 설계된 공격을 차단하기 위해 일반 보안 업데이트와 함께 이 단독 보안 업데이트를 설치해야 합니다.

컴퓨터에 자동 업데이트가 설정되어 있을 경우, 이 보안 업데이트는 사용자가 직접 적용하지 않아도 자동으로 설치됩니다.

 

하지만 수동으로 업데이트하도록 설치된 시스템에서는 마이크로소프트 업데이트 카탈로그에서 사용 중인 플랫폼용 KB4535680 업데이트를 먼저 다운로드 해야합니다.

 

이후 단독 보안 업데이트를 설치하기 전 비스 가 설치되어 있는지 확인해야 합니다.

 

2021년 1월 보안 업데이트 또한 수동으로 설치해야 하는 경우, 업데이트 3가지를 아래 순서로 설치해야 합니다.

 

- 서비스 스택 업데이트
- 해당 CVE에 명시된 단독 시큐어 부트 업데이트
- 2021년 1월 보안 업데이트

 

윈도우 디펜더 크리덴셜 가드(가상 보안 모드)가 활성화된 시스템에서 KB4535680 단독 업데이트를 설치하기 위해서는 재부팅 2번이 필요합니다.

 

또한 마이크로소프트는 20207월 시큐어 부트 우회를 허용하는 BootHole GRUB 부트로더 취약점이 공개된 후 시큐어 부트 DBX 업데이트를 적용하기 위한 지침을 발표했습니다.

 

당시 마이크로소프트는 2021BootHole 취약점을 해결하기 위한 업데이트를 윈도우 업데이트에 푸시할 계획이라고 밝혔습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/microsoft-fixes-secure-boot-bug-allowing-windows-rootkit-installation/

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4535680

 

관련글 더보기

댓글 영역