SandboxEscaper라는 보안 연구원은 지난 8월 27일 윈도우 작업 스케쥴러가 사용하는 ALPC 인터페이스에 존재하는 보안 버그를 악용하는 소스코드를 발표했다.
문제는 SchRpcSetSecurity API 기능에 존재한다. 이는 사용자의 권한을 확인하지 않아 C:WindowsTask의 파일 쓰기 권한을 허용한다.
이 취약점은 윈도우 버전 7~10에 영향을 미치며 공격자가 모든 권한을 SYSTEM 계정 수준으로 상승시켜 모든 접근권한을 얻는데 사용할 수 있다.
이셋(ESET) 연구원들은 익스플로잇 코드가 공개된지 며칠 후, PowerPool이라는 공격자들이 실시하는 악성 캠페인에서 이 코드가 사용되는 것을 발견했다. PowerPool은 그들이 주로 PowerShell로 작성 된 툴을 사용하기 때문에 붙여진 이름이다.
이 그룹은 칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 영국, 미국 및 우크라이나에 약간의 피해자들을 보유한 것으로 보인다.
연구원들은 PowerPool 개발자들이 익스플로잇의 바이너리버전을 사용하지 않고, 소스코드를 재컴파일링 하기 전 약간의 변화를 준 것으로 보인다고 밝혔다.
이로 인해 PowerPool이 구글 업데이터의 실행 파일을 그들이 공격 2단계에서 사용하는 백도어의 복사본으로 덮어쓰기 할 수 있게 된다. 이 업데이터가 다음에 호출 되면, 백도어가 SYSTEM 권한과 함께 실행 될 것이다.
연구원들에 따르면 PowerPool 악성코드 운영자들은 정찰 단계를 거쳐 관심이 있는 피해자들에게만 2단계 백도어를 사용하는 것으로 보인다.
마이크로소프트는 ALPC 버그를 아직까지 패치하지 않았지만, 9월 11일 진행 될 월간 보안 업데이트에서 이를 수정할 것으로 추정된다.
하지만 마이크로소프트에서 승인한 것은 아니지만 취약점을 완화시킬 수 있는 방법이 있다. Karten Nilsen이 제공한 솔루션은 익스플로잇을 차단하며 예약 된 작업이 실행될 수 있도록 하지만, 예전 작업 스케쥴러 인터페이스에서 생성 된 것들이 손상을 입을 수 있다.
64비트 윈도우 10 버전 1803 사용자일 경우 마이크로패치를 적용해 이 문제를 완화시킬 수 있다. 이는 임시 패치이며 Acros security의 0patch Agent를 설치해야 한다.
★정보보안 대표 미디어 데일리시큐!★