마이크로소프트 PatchGuard를 우회하는 새로운 공격 고안돼

 

 

Experts devised a new attack to bypass Microsoft PatchGuard

 

일본의 연구원인 Kento Oki가 PatchGuard에서 공격자가 악용할 경우 서명되지 않은 악성코드를 윈도우 OS 커널에 로드하도록 허용하는 취약점을 발견했습니다.

 

Kernel Patch Protection으로도 알려진 PatchGuard는 루트킷 감염을 예방하거나 커널 수준에서의 악성코드 실행을 예방하기 위해 64-비트 버전 윈도우 OS가 패치되는 것을 막을 목적으로 설계된 소프트웨어 보호 유틸리티입니다.

 

이 기능은 2005년 윈도우 XP 및 윈도우 서버 2003 서비스 팩 1의 x64 에디션과 함께 처음으로 도입되었습니다.

 

Kento는 이 공격에 대한 기술적 세부 사항을 블로그에 게시했으며, 공격과 관련된 PoC 코드 또한 공개했습니다.

 

 

<이미지 출처 : https://www.godeye.club/2021/05/22/001-bypass-patchguard-pssetcreateprocessnotifyroutine.html>

 

 

이 소식은 The Record에서 처음으로 보도했습니다. 해당 언론 측에서는 이 IT 회사가 아직까지 취약점을 해결하지 못했다고 지적했습니다.

 

The Record는 “Kento는 지난주 이메일을 통해 수년을 거쳐 발견된 다른 세 가지 PatchGuard 우회 취약점을 패치하지 않고 무시했기 때문에, 이 취약점을 수정하려고 서두르지 않을 것이란 걸 알고 있었다”고 보도했습니다.

 

모든 64 버전 윈도우가 PatchGuard 기능을 지원하기 때문에, 이 문제는 매우 위험한 것으로 간주됩니다.

 

공격자가 커널을 패치할 경우 커널 모드에서 악성코드를 실행할 수 있게 됩니다. 따라서 가장 높은 수준의 권한으로 실행된 악성코드는 일반적인 보안 솔루션에 탐지되지 않을 수 있습니다.

 

수 년에 걸쳐, 보안 전문가들은 GhostHook 후킹 기술 등 PatchGuard를 우회하기 위한 여러 공격을 고안해 냈습니다.

 

공격자가 이러한 공격을 실행하기 위해서는 어드민 권한으로 코드를 실행해야 하기 때문에, 마이크로소프트는 늘 이러한 취약점의 심각도를 낮게 간주했습니다. 하지만 해당 수준 권한으로 모든 윈도우 시스템을 장악할 수 있다고 지적했습니다.

 

결국 마이크로소프트는 이 공격을 패치하지 않았으며, 보안 문제가 아닌 것으로 간주했습니다.

 

전문가들은 이러한 해킹 기술이 윈도우 시스템에 루트킷을 설치하고 보안 조치를 우회하는데 악용될 수 있다고 지적했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118427/hacking/microsoft-patchguard-kpp-bypass.html

https://www.godeye.club/2021/05/22/001-bypass-patchguard-pssetcreateprocessnotifyroutine.html

https://github.com/kkent030315/NoPatchGuardCallback