2020-10-20 06:45 (화)
타비스 오르만디, MS에 또다른 윈도우 디펜더 취약점 제보
상태바
타비스 오르만디, MS에 또다른 윈도우 디펜더 취약점 제보
  • hsk 기자
  • 승인 2017.06.27 14:17
이 기사를 공유합니다

해당 버그, 윈도우 디펜더가 사용하는 샌드박스 되지 않은 x86 에뮬레이터에 존재

Z-2.jpg
구글 프로젝트 제로(Google Project Zero)팀의 타비스 오르만디(Tavis Ormandy)가 마이크로소프트의 안티바이러스 툴인 윈도우 디펜더(Windows Defender)가 공격받을 수 있는 또다른 방법을 찾았다고 밝혔다.

그는 지난 금요일 마이크로소프트가 패치를 공개하면서 해당 버그를 공개했다. 6월 9일에 마이크로소프트 본사에 이 문제를 보고했다.

해당 버그는 윈도우 디펜더가 사용하는 샌드박스 되지 않은 x86 에뮬레이터에 존재한다. ‘apicall’ 명령은 시스템 권한으로 실행되는데, 그는 그것을 확인하기 위해 퍼저를 만들었다.

그가 발견한 것은 퍼저가 지금까지 무시한 것으로 보이는 ‘heap corruption in the KERNEL32.DLL!VFS_Write API’이고, 해당 버그에 대해서 “MsMpEng: mpengine x86 Emulator Heap Corruption in VFS API”라는 제목으로 글을 올렸다.

그는 “MutableByteStream 오브젝트가 검토되지 않은 memcpy로 손상된 것으로 보인다. 나는 wild eip를 포함한 여러 다른 스택트레이스를 봐왔다”고 언급했다.

초기 포스팅 이후, 그는 버그의 공격 가능성을 조사하고 최소한의 테스트 케이스를 제시했다.

MpApiCall("NTDLL.DLL", "VFS_Write", 1, Buf, 0, 0xffffffff, 0);
MpApiCall("NTDLL.DLL", "VFS_Write", 1, Buf, 0x7ff, 0x41414141, 0);

그는 “첫번째 호출은 파일 길이를 nOffset으로 확장하지만, numberOfBytes 파라미터가 0이므로 공간이 할당되지 않는다. 그렇게 되면 임의의 데이터를 읽고 임의의 오프셋에서 MutableByteStream 오브젝트 버퍼로 쓸 수 있다. 이것은 매우 강력한 기본형의 익스플로잇이며, 익스플로이테이션이 어려워보이지 않는다”고 썼다.

마이크로소프트는 멀웨어 프로텍션 엔진 패치 버전 1.1.13903.0을 배포했다.

★정보보안 대표 미디어 데일리시큐!★