해커가 윈도우의 제로데이 취약점을 공개했다
CVE-2018-8440: Task Scheduler의 로컬 권한 상승 취약점
SandboxEscaper라는 트위터 이용자가 윈도우 10의 제로데이 취약점을 공개했다. F 문자를 마구 쓰는 등 거친 말투로 봐서, 보안 연구자가 아닌 사회에 불만이 많은 해커인 것 같다. 그는 마이크로소프트에 알리지도 않고, 취약점을 악용할 수 있는 악성코드(exploit code)와 함께 트위터에 공개해 버렸다.CERT/CC에서 확인한 결과, 이 취약점은 사실이었으며 모든 패치가 적용된 최신 Windows 10에서 작동했다. 이는 로컬 권한 상승(LPE, Local Privilege Escalation) 취약점이다. ALPC(Advanced Local Procedure Call)를 잘못 처리하는 데서 비롯하며, local에서 작동하는 부분이기 때문에 네트워크를 통해 원격으로 악용할 수는 없다.
예를 들어, 여러 명이 사용하는 PC에 관리자가 일반 사용자들에게 제한된 계정만을 열어줬다. 이는 악성코드를 설치하거나 시스템에 중요한 변경을 가하는 것을 막기 위해서다. 그러나 악의적인 사람이 이 취약점을 이용하면 관리자 권한으로 PC를 맘대로 조작할 수 있는 것이다.
마이크로소프트는 9월 정기 업데이트 때 패치할 예정이다.
<9.5 업데이트>
이 취약점이 공개된 지 이틀만에 이를 이용한 악성코드가 등장해, 실제 피해 사례가 발견됐다. 취약점 내용도 상세히 알려졌다.
이 취약점은 Windows 7~10에 존재하며, 사용자 권한을 제대로 확인하지 않아 C:\windows\task 폴더에 쓰기를 허락한다. 결국에는 공격자에게 전능한 'SYSTEM 권한'을 주게 된다.
악성코드는 취약점을 이용해 구글의 업데이트 툴인 GoogleUpdate.exe를 백도어로 덮어쓰고, 원래 권한인 관리자 권한을 시스템 권한으로 상승시킨다. 이 취약점은 원격으로 이용할 수는 없으므로 최초 공격은 이메일의 첨부파일을 통해 이뤄졌다.
<9.11 업데이트>
패치 발표 후 CVE-2018-8440으로 등록됐다.
참고 자료
댓글
댓글 쓰기