목차
Windows 업데이트 취약점을 악용한 Windows Downdate 공격은 최신 보안 패치를 무력화하고, 수천 개의 과거 취약점을 다시 노출시킬 수 있다. 이 블로그 포스트에서는 Windows 업데이트 도구를 통해 어떻게 이러한 공격이 가능해지는지, 어떤 위험이 있는지, 그리고 이를 방어하기 위한 방법에 대해 다룬다. 특히, Credential Guard와 Hyper-V 하이퍼바이저 같은 중요한 OS 구성 요소가 어떻게 다운그레이드될 수 있는지 설명한다. 또한, Microsoft의 대응과 함께 취약점 점검 및 패치 적용 방법을 제공하여 스스로를 보호할 수 있도록 돕는다.
공격 대상 및 취약점
취약 제품 상세 정보
Windows 업데이트 프로세스는 다양한 Windows 운영 체제 버전에서 사용된다. 이번 연구에서 밝혀진 Windows Downdate 공격은 다음과 같은 제품에 영향을 미친다:
- Microsoft Windows 11
- Microsoft Windows 10
- Microsoft Windows Server
이러한 제품들은 모두 Windows 업데이트 프로세스를 통해 시스템 파일을 관리하며, 이번 취약점은 이 프로세스를 악용하여 시스템을 이전의 취약한 상태로 되돌릴 수 있다.
취약점 CVE 정보
다음은 이번 연구에서 확인된 주요 취약점 목록이다:
- CVE-2022-21894 : UEFI Secure Boot Bypass
- CVE-2022-34709 : Credential Guard Elevation of Privilege
- CVE-2021-27090 : Secure Kernel Elevation of Privilege
- CVE-2024-21302 : Hyper-V Hypervisor Elevation of Privilege
- CVE-2024-38202 : Windows Update Process Takeover
취약점 상세 정보
CVE-2022-21894 (UEFI Secure Boot Bypass)
이 취약점은 UEFI 부트킷인 BlackLotus가 사용하는 공격 방법이다. Windows 부트 매니저를 이전의 취약한 버전으로 다운그레이드할 수 있게 만들어, Secure Boot를 우회하고 다른 OS 보안 메커니즘을 비활성화할 수 있다.
- 취약 제품 : Microsoft Windows 11, Microsoft Windows 10, Microsoft Windows Server
- 원인 : 부트 매니저의 이전 버전에 존재하는 보안 결함.
- 알려진 공격 방법 : 공격자는 시스템을 재부팅하여 이전 버전의 부트 매니저를 로드하고, 이를 통해 Secure Boot를 우회한다.
- 공격 영향 : 공격자는 OS 보안 메커니즘을 비활성화하고 지속적인 접근 권한을 획득할 수 있다.
CVE-2022-34709 (Credential Guard Elevation of Privilege)
Credential Guard의 Isolated User Mode Process(LsaIso.exe)에 존재하는 권한 상승 취약점이다. 이를 통해 공격자는 VTL0에서 VTL1으로 권한을 상승시킬 수 있다.
- 취약 제품 : Microsoft Windows 11, Microsoft Windows 10, Microsoft Windows Server
- 원인 : Credential Guard 모듈(KerbClientShared)의 설계 결함.
- 알려진 공격 방법 : 공격자는 LsaIso.exe를 이전의 취약한 버전으로 다운그레이드하여 권한 상승을 시도한다.
- 공격 영향 : 공격자는 Credential Guard와 그 안에 저장된 비밀 정보를 탈취할 수 있다.
CVE-2021-27090 (Secure Kernel Elevation of Privilege)
Secure Kernel(SecureKernel.exe)에 존재하는 권한 상승 취약점이다. 이를 통해 공격자는 VTL0에서 VTL1으로 권한을 상승시킬 수 있다.
- 취약 제품 : Microsoft Windows 11, Microsoft Windows 10, Microsoft Windows Server
- 원인 : Secure Kernel 모듈과 그 종속 모듈(SKCI.dll, CI.dll)의 설계 결함.
- 알려진 공격 방법 : 공격자는 Secure Kernel과 그 종속 모듈들을 이전의 취약한 버전으로 다운그레이드하여 권한 상승을 시도한다.
- 공격 영향 : 공격자는 VTL1 내의 모든 보안 기능(HVCI, HyperGuard 등)을 무력화할 수 있다.
CVE-2024-21302 (Hyper_V Hypervisor Elevation of Privilege)
Hyper-V 하이퍼바이저(Hvix64.exe/Hvax64.exe)에 존재하는 권한 상승 취약점이다. 이를 통해 공격자는 VTL0에서 Ring _1로 권한을 상승시킬 수 있다.
- 취약 제품 : Microsoft Windows 11, Microsoft Windows 10, Microsoft WIndows Server
- 원인 : Hyper_V 하이퍼바이저와 그 로더의 설계 결함.
- 알려진 공격 방법 : 공격자는 Hyper_V 하이퍼바이저와 그 로더를 이전의 취악하나 버전으로 다운그레이드하여 권한 상승을 시도한다.
- 공격 영향 : 공격자는 가상화 스택 전체를 장악할 수 있으며, 모든 VTL에 대한 제어권을 획득할 수 있다.
CVE-2024-38202 (Windows Update Process Takeover)
Windows 업데이트 프로세스에 존재하는 설계 결함으로 인해 발생하는 취악점이다 이를 통해 공격자는 업데이트 프로세스를 완전히 장악하고 임의의 파일로 대체 할수있다.
- 취약 제품 : Microsoft WIndows11, Micosoft WIndows10, Micosoft WIndows Server
- 원인 : Windows 업데이트 프로세스 내 액션 리스트(Pending.xml)의 검증 부족.
- 알려진 공격 방법 : 공격자는 액션 리스트를 조작하여 임의 파일로 대체하고 시스템 파일들을 다운그레이드 한다.
- 공격 영향 : 공격자가 시스템파일들을 완전히 장악하고 임의코드를 실행할수있다.
발생 가능한 피해 및 위협
다운그레이드 공격은 다음과 같은 심각한 피해와 위험성을 초래할 수 있다:
- 보안 무력화 :최신 패치가 적용된 시스템조차 과거에 수정된 다수의 취악점을 다시 노출하게 된다 이는 사실상 ‘제로데이’ 상태로 만들어버린다.
- 권한 상승 :공격자가 낮은 수준(예 관리자)에서 높은 수준(예 커널 또는 하이퍼바이저)으로 쉽게 접근권환을 획득 할수있다.
- 지속적 침투 : 다운그레이드는 지속적으로 유지되며 새로운 업데이트나 복구 도구들로도 탐지하거나 수정하기 어렵게 만든다.
- 데이터 유출 :Credential Guard 와 같은 중요한 보안기능들이 무력화됨에 따라 민감정보와 자격증명이 유출될 위험성이 크다.
- 운영 중단 : Hyper_V 하이퍼바이저등 가상화 스택 전체가 손상될 경우 서비스 운영중단이나 데이터 손실등 심각한 문제가 발생 할수있다.
취약점 점검 및 대응
취약 여부 점검 방법
Windows 업데이트 취약점을 점검하기 위해서는 먼저 시스템이 최신 패치 상태인지 확인해야 한다. 이를 위해 Windows 설정에서 “업데이트 및 보안” 메뉴로 이동하여 “Windows 업데이트”를 선택하고, “업데이트 확인” 버튼을 클릭한다. 이 과정에서 시스템이 최신 상태인지 확인할 수 있다.
또한, 시스템 파일의 무결성을 검증하는 도구인 SFC(시스템 파일 검사기)를 사용할 수 있다. 명령 프롬프트를 관리자 권한으로 실행한 후 sfc /scannow 명령어를 입력하면 된다. 이 도구는 손상된 시스템 파일을 검색하고 복구할 수 있다. 그러나 이번 연구에서 밝혀진 바와 같이, SFC.exe 자체가 디지털 서명이 되어 있지 않아 공격자가 이를 무력화할 수 있으므로 주의가 필요하다.
마지막으로, 전문적인 보안 솔루션을 활용하여 시스템의 취약점을 진단하는 것도 좋은 방법이다. 서비스 및 제품 등의 형태로 제공되는 침투 테스트 플랫폼이나 서비스를 사용하면 다양한 공격 시나리오를 시뮬레이션하여 시스템의 보안 상태를 평가할 수 있다.
침해 지표(IoC) 정보
현재까지 Windows 업데이트 프로세스를 악용한 다운그레이드 공격에 대한 구체적인 침해 지표(Indicators of Compromise, IoC)는 공개되지 않았다. 이는 이러한 공격이 매우 은밀하게 이루어지며, 탐지가 어렵기 때문이다.
그러나 일반적으로 다음과 같은 이상 징후가 발견될 경우 침해 가능성을 의심해볼 수 있다
- 시스템 파일의 무결성 검사가 실패하거나 예상치 못한 변경 사항이 발견되는 경우
- Windows Defender와 같은 보안 소프트웨어가 비정상적으로 작동하지 않는 경우
- Credential Guard나 Hyper-V 하이퍼바이저와 같은 중요한 보안 기능이 비활성화된 경우
추가적인 IoC 정보가 제공되는 대로 업데이트될 예정이다.
침해 확인시 대응 방법
만약 시스템이 다운그레이드 공격에 의해 침해되었음을 확인했다면, 즉각적인 대응 조치가 필요하다. 우선, 영향을 받은 시스템을 네트워크에서 격리하여 추가적인 피해 확산을 방지해야 한다. 그런 다음, 가능한 한 빨리 최신 패치를 적용하고 모든 관련 보안 설정을 재구성해야 한다.
또한, 침해된 시스템에서 중요한 데이터를 백업하고, 전체 디스크 이미지를 생성하여 향후 분석에 활용할 수 있도록 해야 한다. 이 과정에서 전문적인 디지털 포렌식 도구를 사용하면 보다 정확한 분석이 가능하다.
마지막으로, Microsoft와 같은 벤더에게 즉시 연락하여 상황을 보고하고 추가적인 지원을 요청하는 것이 좋다. Microsoft는 Microsoft Security Response Center를 통해 취약점 보고 및 대응 절차를 안내하고 있다.
패치 적용 또는 완화 방법
현재까지 Microsoft는 CVE-2024-21302 및 CVE-2024-38202에 대한 패치를 발표하지 않았다. 따라서 사용자들은 임시 완화 조치를 통해 위험을 최소화해야 한다. 우선, Windows 업데이트 프로세스의 액션 리스트(Pending.xml)에 대한 접근 권한을 제한하는 것이 중요하다. 이를 통해 공격자가 액션 리스트를 조작하는 것을 방지할 수 있다.
또한, Credential Guard와 Hyper-V 하이퍼바이저와 같은 중요한 보안 기능에 대해 추가적인 보호 조치를 적용해야 한다. 예를 들어, UEFI Secure Boot 설정을 강화하고 물리적 접근 없이 변경할 수 없도록 하는 것이 좋다.
마지막으로, 조직 내 모든 시스템에 대해 정기적인 보안 점검과 모니터링을 실시하여 이상 징후를 조기에 발견하고 대응할 수 있도록 해야 한다. 전문적인 보안 솔루션을 고려하는 것도 방법이 될 수 있다.
참고자료
- nvd.nist.gov, CVE-2022-21894
https://nvd.nist.gov/vuln/detail/CVE-2022-21894 - nvd.nist.gov, CVE-2022-34709
https://nvd.nist.gov/vuln/detail/CVE-2022-34709 - nvd.nist.gov, CVE-2021-27090
https://nvd.nist.gov/vuln/detail/CVE-2021-27090 - cve.mitre.org, CVE-2024-21302
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21302 - cve.mitre.org, CVE-2024-38202
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38202 - SafeBreach, Downgrade Attacks Using Windows Updates
https://www.safebreach.com/blog/downgrade-attacks-using-windows-updates/ - Microsoft Security Response Center (MSRC)
https://msrc.microsoft.com/ - SafeBreach Blog, MagicDot: A Hacker’s Magic Show of Disappearing Dots and Spaces
https://www.safebreach.com/blog/magicdot-a-hackers-magic-show-of-disappearing-dots-and-spaces/ - SafeBreach Blog, Original Attacks: SafeBreach Labs Discovers Previously Unknown Attack Methods
https://www.safebreach.com/blog/original-attacks-safebreach-labs-discovers-previously-unknown-attacks-methods/ - SafeBreach Blog, EDR = Erase Data Remotely by Cooking Unforgettable (Byte) Signature Dish
https://www.safebreach.com/blog/edr=erase-data-remotely-by-cooking-unforgettable-byte-signature-dish/