[보안뉴스] 다운데이트

윈도우다운데이트 Windows Downdate

윈도우 버전을 낮춰 취약점을 되살려 공격하는 기법

롤백 기능을 통해 최신 보안 패치가 적용된 소프트웨어를 이전 버전으로 되돌려 취약점을 노출 악용

발견

일시 : 2024년 08월

장소 : 블랙햇 2024(Black Hat USA 2024) / 데프콘32(DEF CON 32)

발견 업체 : 보안업체 세이프브리치(SafeBreach)가 발견

2023년 블랙로터스(BlackLotus) CVE-2022-21894

세이프브리치의 연구

1차 연구

윈도우 업데이트 프로세스를 공격 경로로 설정하여 세부적으로 분석, 외부에서 업데이트 프로세스를 완전히 제어할 수 있다는 것을 알게 됨

모든 무결성 검사를 우회하여 다운그레이드를 실시하는 것 성공

CVE-2024-21302 / CVE-2024-38202로 취약점이 2개였지만,  전자의 취약점은 MS가 위험하다고 판단하여 패치했지만, 후자의 취약점은 위험이 아니라고 판단하여 패치하지 않았음

해당 취약점은 세이프브리치의 다음 연구로 진행

2차 연구

CVE-2024-38202 취약점은 잘못된 파일 불변성(False File Immutability / FFI)

파일 쓰기 접근이 차단되면 파일이 불변한다고 보는 오해 > 파일을 메모리에서부터 접근하여 파일을 읽고 수정하는 것이 가능

파일 읽기의 조건이 겹침 > 검사 시간과 사용 시간 간 불일치(TOCTOU) 발생 > 두 조건 사이에 경쟁 상태 발생 > 검증된 카탈로그를 악성 카탈로그로 대체

하지만 악성 카탈로그를 로드할 때 가상화 기술을 기반으로 한 보안 기술은 VBS가 발동된다면 정상 카탈로그를 대체하는 것이 어려움. 해당 기능을 비활성화 한다면 CVE-2024-38202 취약점을 위한 공격도 가능하지 않을까 라는 것이 다음 연구의 주제가 됨

3차 연구

VBS의 세 가지 모드와 우회 방안

첫 번째 모드

UEFI 잠금이 없는 VBS 모드

우회 방안

가장 기본적인 설정임. 레지스트리 키를 수정하여 VBS 기능을 비활성화

두 번째 모드

UEFI 잠금이 있는 VBS 모드

우회 방안

로컬 그룹 정책 편집기나 레지스트리를 통해 활성화 됨. UEFI 잠금 장치가 VBS 수정을 방지함. 레지스트리와 UEFI 변수가 일치해야 레지스트리 변경이 가능. UEFI 잠금 장치를 무력화 시킨 후 VBS 비활성화

 

세 번째 모드

UEFI 잠금과 필수(Mandatory) 플래그가 있는 VBS 모드

우회 방안

VBS 파일 중 하나가 손상 된 경우 부팅 조차 되지 않음. 필수 플래그의 경우 VBS 정책과 관련된 UEFI 변수에 포함되어 있음. 현재까지 해당 플래그를 우회하는 방안을 찾지 못 함.

UEFI 잠금 활성화 명령

필수 플래그 활성화 명령

결론

단순 취약점 익스플로잇 공격보다 OS 다운그레이드 공격이 훨씬 유연함. 해당 다운그레이드 시도가 있는지 강력한 엔드포인트 보안 솔루션과 모니터링 도구를 통해 꾸준히 파악하는 것이 중요

ref. https://m.boannews.com/html/detail.html?idx=133857&kind=0

윈도 최신 보안 패치도 소용없다? 새롭게 연구된 다운데이트 공격

https://www.itworld.co.kr/tags/265409/%EC%9C%88%EB%8F%84%EC%9A%B0+%EB%8B%A4%EC%9A%B4%EB%8D%B0%EC%9D%B4%ED%8A%B8/347043

"이미 패치한 보안 결함이 위험하다?" 윈도우서 다운그레이드 공격 취약점 발견돼

https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/

Update on Windows Downdate | SafeBreach