상세 컨텐츠

본문 제목

윈도우 10 디스크 청소 유틸리티, UAC(사용자 접근 제어) 우회에 악용돼

국내외 보안동향

by 알약(Alyac) 2016. 7. 26. 16:08

본문

윈도우 10 디스크 청소 유틸리티, UAC(사용자 접근 제어) 우회에 악용

Windows 10 Disk Cleanup Utility Abused to Bypass UAC


보안연구원 Matt Nelson과 Matt Graeber가 윈도우 10의 UAC 보안 시스템을 우회하여 사용자에게 경고없이 악성 파일을 실행하도록 허용하는 방법을 발견했습니다.


이 방법을 이용하면 공격자는 파일을 복사하거나 코드를 인젝션하지 않아도, 가장 높은 권한으로 실행가능한 윈도우의 ‘작업 스케줄러’를 악용할 수 있습니다.


이 작업 스케줄러는 하드 드라이브를 청소하고 관리할 수 있는 윈도우 앱인 디스크 청소 유틸리티와 관련되어 있습니다. 작업 스케줄러는 '디스크 공간이 얼마 남지 않았을 때, 자동으로 디스크를 정리하기 위해 시스템이 사용하는 관리를 위한 태스크'라고 명시되어 있습니다.


연구원들은 윈도우 10이 해당 태스크를 실행할 때, 디스크 청소앱을 실행하고 파일들을 'C:Users<username>AppDataLocalTemp' 폴더에 복사할 수 있다는 것을 발견했습니다. 여기에 복사된 파일들은 Dism.Host.exe 파일과 아주 많은 DLL 파일입니다. 디스크 청소 앱은 이후 위 EXE 파일을 실행할 수 있으며, 이는 DLL 파일을 하나씩 로드합니다. 또한 DismHost.exe가 이 큐(queue)의 DLL 파일 중 LogProvider.dll을 마지막에 로드하기 때문에 이로 인해 공격을 실행할 시간을 제공한다는 것도 밝혀졌습니다.


연구원들은 로컬 파일 시스템의 Temp 경로 내 새로운 폴더가 생성되는 것을 주시하는 악성 스크립트(악성코드)를 제작했습니다. 악성 스크립트는 위 파일 중 하나가 탐지되면 LogProvider.dll 파일을 악성 행동을 하도록 제작된 DLL 파일로 재빨리 바꿔치기 할 수 있습니다.


이러한 공격 기술은 DLL 하이재킹이라고 불리며, 공격자가 악성코드 공격을 실행하는 흔한 방법 중 하나입니다. 작업 스케줄러는 일반 사용자 계정으로 실행되지만, '가능한 가장 높은 권한'으로 실행되기 때문에 UAC는 아무런 일도 하지 않는 것입니다.


이 테크닉을 사용할 수 있을 만큼 영리한 공격자라면, 일반 사용자 계정을 감염시켜 관리자 권한으로 코드를 실행시킬 수도 있을 것입니다.


해당 이슈는 마이크로소프트에 제보되었지만, 빠른 시일 내에 패치가 제공되지는 않을 것으로 보입니다. 패치가 제공되기 전까지 사용자 분들은 ‘가장 높은 수준의 권한으로 실행’ 체크박스를 해제하여 사용하시는 것을 권고 드립니다.




※ Window 10 :

[시작] > [예약작업 검색] > [작업스케줄라이브러리] > [Microsoft] > [WIndows] > [DiskCleanup] > [사용안함]




출처 :

http://news.softpedia.com/news/windows-10-disk-cleanup-utility-abused-to-bypass-uac-506614.shtml



관련글 더보기

댓글 영역