2024-03-29 03:45 (금)
10년된 윈도우 커널버그 이용해 보안제품 우회 가능해
상태바
10년된 윈도우 커널버그 이용해 보안제품 우회 가능해
  • 길민권 기자
  • 승인 2017.09.11 16:55
이 기사를 공유합니다

해커, 윈도우 API 사용해 보안제품 속여 악의적 행동 수행할 수 있어

hac-1-1.jpg
윈도우 커널버그로 인해 해커가 윈도우 API를 사용해 보안제품을 속여 악의적인 행동을 수행할 수 있음이 밝혀졌다.

이 취약점은 윈도우 커널에 모듈이 로드되었을 때 알려주는 역할을 하는 PsSetLoadImageNotifyRoutine라는 저수준 인터페이스에 존재한다. 공격자는 이 취약점을 이용하여 로드된 모듈의 이름을 위조할 수 있고, 타사 보안제품을 우회할 수 있으며, 경고없는 악의적인 행동을 수행할 수 있다. PsSetLoadImageNotifyRoutine는 원래 윈도우2000에 도입되어 보안 제품을 구동하는 드라이버와 같은 모듈에 프로세스가 로드되고, 메모리의 모듈 주소가 로드되어 보안 제품에서 모듈을 추적할 수 있도록 하는 역할을 한다.

그러나 연구결과 윈도우가 항상 올바른 결과를 반환하는 것이 아니라는 것이 발견되었다. 즉, 멀웨어 방지 프로그램과 같은 보안제품이 악성 파일을 검사하지 못할 수도 있다는 것이다.

EnSilo의 보안연구원 옴리 미스가브(Omri Misgav)는 블로그를 통해 이 취약점이 커널에서의 프로그래밍 오류로 보인다며 마이크로소프트의 문서에 잘못된 경로에 대한 언급이 없음을 비판했다.

"이 알림 루틴서 제공하는 정보에 의존하는 보안업체라면 로드할 때 잘못된 모듈을 보게될 수도 있다. 버그를 재현하기 위해 일련의 간단한 파일 작업을 수행해야 하고, 일단 이 작업이 수행되면 알림 루틴은 잘못된 경로를 받게 된다." 그는 EnSilo가 특정 보안제품을 테스트하지는 않았다고 덧붙였다.

이 취약점은 모든 버전의 윈도우 OS에 적용된다. 그러나 마이크로소프트 측은 이를 보안문제로 간주하지 않았다. 마이크로소프트 대변인은 마이크로소프트의 기술담당자가 정보를 검토한 결과 보안위협으로 보기 어려우며 따라서 보안업데이트로 해결할 계획이 없다고 밝혔다.

이에 대해 Misgav는 왜 아직까지 이 버그가 존재하는지 "알지 못하겠다"라고 말했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★