2019-09-17 00:32 (화)
CVE-2019-0859 윈도우 취약점, 파워쉘 백도어 유포 목적으로 익스플로잇돼
상태바
CVE-2019-0859 윈도우 취약점, 파워쉘 백도어 유포 목적으로 익스플로잇돼
  • hsk 기자
  • 승인 2019.04.21 16:24
이 기사를 공유합니다

aa-1.jpg
2019년 4월 패치튜스데이 보안 업데이트가 파워쉘 백도어를 유포하기 위해 공격자들이 사용한 CVE-2019-0859 취약점을 패치해, 윈도우 운영체제 로컬 권한 상승 문제를 해결했다.

이는 Win32k 구성 요소가 메모리에 있는 개체를 처리하는 방식 때문에 발생하는 결함으로, 공격자는 대상 시스템의 권한을 상승시킬 수 있었다. 이 취약점을 통해 인증된 공격자는 커널 모드에서 임의 코드를 실행할 수 있다.

CVE-2019-0859는 카스퍼스키 보안 전문가가 몇 달 만에 발견한 5번째 윈도우 제로데이 취약점이다. 해당 결함은 3월 17일에 보고되었다. 이전에 보고된 취약점들은 FruityArmor와 SandCat 등 여러 위협 요인이 수행하는 타깃 캠페인에서 악용되었다.

카스퍼스키는 “3월 초우리의 사전 보안 기술팀이 마이크로소프트 윈도우에 존재하는 취약점을 익스플로잇하려는 시도를 발견했다. 분석에 따르면 win32k.sys 제로데이가 발견되었는데, 비슷한 취약점이 이미 4번 발견된 바 있다. 개발자에게 해당 문제를 보고했으며 4월 10일 발표된 패치에서 수정되었다”고 말했다.

CVE-2019-0859는 CreateWindowEx 함수와 관련이 있는 Use-After-Free 이슈이다. 보안 업체는 이 취약점이 또한 마이크로소프트의 작업 자동화 및 구성 관리 프레임워크인 파워쉘을 실행하는데 사용됨을 확인했다.

CVE-2019-0859를 익스플로잇한 후, Base64로 인코딩된 명령을 통해 파워쉘을 실행해 http://pastebin.com으로부터 2번째 스크립트를 다운로드한다. 두 번째 단계의 파워쉘이 마지막 3번째 단계를 실행하며, 이 단계 또한 쉘코드를 언팩하고 실행하는 파워쉘 스크립트이다.

공격자는 셸 코드를 사용해 타깃 장치를 완벽하게 제어할 수 있는 HTTP 역방향 셸을 만들었다. In the wild에서 발견된 익스플로잇 사례를 보면 64비트 버전의 윈도우(윈도우7부터 이전 버전의 윈도우10까지)를 타깃으로 하였고, 잘 알려진 HMValidateHandle 기술을 사용해 ASLR을 우회한 후 이 취약점을 악용했다.


[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★