탐지 불가능한 윈도우 업데이트 다운그레이드 공격, 완전히 업데이트된 시스템 노출

Alon Leviev, SafeBreach의 보안 연구원은 완전히 최신 소프트웨어가 알려진 취약점이 있는 이전 버전으로 되돌아가게 할 수 있는 윈도우 10, 윈도우 11 및 윈도우 서버 시스템에 대한 소프트웨어 “다운그레이드 공격”에 긴급한 주의를 촉구했습니다.

라스베가스에서 열리고 있는 보안 컨퍼런스 “Black Hat 2024”에서 발표한 Leviev는 악의적인 행위자들이 이전에 “완전히 패치된” 취약점을 노출하고 악용하여 시스템을 손상시키고 무단 접근을 얻을 수 있다고 경고했습니다.

Leviev는 윈도우 업데이트 프로세스가 어떻게 손상되어 동적 링크 라이브러리(DLL), 드라이버 및 NT 커널을 포함한 중요한 OS 구성 요소를 다운그레이드할 수 있는지를 보여주었습니다.

다운그레이드 공격은 모든 중요한 구성 요소를 이전 버전으로 롤백하지만, 업데이트 확인은 운영 체제(OS)가 완전히 업데이트되었고 향후 업데이트를 설치할 수 없다고 잘못 보고하며, 복구 및 스캔 도구는 문제를 식별할 수 없었습니다.

“저는 Windows Downdate라는 도구를 개발하는 데 사용한 여러 취약점을 발견했습니다. 이 도구는 윈도우 업데이트 프로세스를 장악하여 중요한 OS 구성 요소에 대해 완전히 탐지 불가능하고, 보이지 않으며, 지속적이고, 되돌릴 수 없는 다운그레이드를 생성할 수 있게 해주었습니다. 그 결과, 저는 권한을 상승시키고 보안 기능을 우회할 수 있었습니다. 따라서 저는 완전히 패치된 윈도우 머신을 수천 개의 과거 취약점에 취약하게 만들 수 있었고, 수정된 취약점을 제로데이로 전환하여 “완전히 패치된”이라는 용어가 세계의 어떤 윈도우 머신에서도 의미가 없게 만들었습니다.”라고 Leviev는 블로그 게시물에서 썼습니다.

이스라엘 연구원은 제로데이 취약점을 악용하여 Credential Guard의 격리된 사용자 모드 프로세스, 보안 커널 및 Hyper-V의 하이퍼바이저를 성공적으로 다운그레이드할 수 있었습니다. 이를 통해 과거 권한 상승 취약점을 노출시켰습니다.

“저는 UEFI 잠금으로 시행되더라도 Credential Guard 및 Hypervisor-Protected Code Integrity (HVCI)와 같은 기능을 포함하여 윈도우 가상화 기반 보안(VBS)을 비활성화하는 여러 방법을 발견했습니다. 제가 아는 한, 이는 물리적 접근 없이 VBS의 UEFI 잠금을 우회한 첫 번째 사례입니다.”라고 Leviev는 밝혔습니다.

“그 결과, 저는 완전히 패치된 윈도우 머신을 수천 개의 과거 취약점에 취약하게 만들 수 있었고, 수정된 취약점을 제로데이로 전환하여 “완전히 패치된”이라는 용어가 세계의 어떤 윈도우 머신에서도 의미가 없게 만들었습니다.”

Leviev에 따르면, 이는 물리적 접근 없이 가상화 기반 보안(VBS)의 UEFI 잠금이 우회된 첫 번째 사례입니다. 그의 연구의 의미는 마이크로소프트 윈도우뿐만 아니라 다운그레이드 공격의 대상이 될 수 있는 모든 OS 공급업체에 대해 중요합니다.

SafeBreach Labs는 올해 2월 마이크로소프트에 ‘Windows Downdate’라는 이름의 다운그레이드 공격을 보고했습니다. 이는 조정된 책임 있는 공개 프로세스의 일환으로 이루어졌습니다. 보고 후 6개월이 지나 Leview는 ‘Windows Downdate’ 다운그레이드 공격을 대중에게 공개했습니다.

마이크로소프트는 두 개의 패치되지 않은 제로데이 취약점(CVE-2024-38202 및 CVE-2024-21302)에 대한 경고를 발행했으며, 공식 완화 조치가 윈도우 보안 업데이트에서 제공될 때 고객에게 통지할 것이라고 밝혔습니다. 또한 이 취약점이 실제로 악용된 시도에 대해서는 알지 못한다고 전했습니다.

한편, 이 회사는 취약점을 완화하지는 않지만 보안 업데이트가 제공될 때까지 악용 위험을 줄이는 데 사용할 수 있는 권장 사항을 제공했습니다.

“우리는 SafeBreach가 이 취약점을 식별하고 책임 있게 보고한 작업을 높이 평가합니다. 우리는 철저한 조사, 모든 영향을 받는 버전에서의 업데이트 개발 및 호환성 테스트를 포함하는 광범위한 프로세스를 따르면서 이러한 위험으로부터 보호하기 위한 완화 조치를 적극적으로 개발하고 있습니다. 이를 통해 고객 보호를 극대화하고 운영 중단을 최소화할 수 있습니다.”라고 마이크로소프트 대변인이 성명에서 말했습니다.