ClickCease 34개 WDM 및 WDF 모델이 취약합니다: 디바이스 보호

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

34개 WDM 및 WDF 모델이 취약합니다: 디바이스 보호

와자핫 라자

2023년 11월 16일 TuxCare 전문가 팀

보안 전문가들은 악의적인 공격자가 악용할 수 있는 잠재적 취약점이 있는 상당수의 WDM(Windows 드라이버 모델) 및 WDF(Windows 드라이버 프레임워크) 드라이버를 발견했습니다. 이러한 드라이버가 손상되면 권한이 없는 공격자가 디바이스를 제어할 수 있고 무단 코드 실행 실행할 수 있습니다. 이 블로그에서는 다음과 같은 내용을 자세히 살펴봅니다. 취약한 WDM 및 WDF 모델잠재적인 위험과 이를 완화하는 방법을 살펴봅니다.

 

무단 디바이스 제어의 위험


VMware Carbon Black의 보안 연구원 타카히로 하루야마는 중요한 문제를 제기했습니다. 이
보안 연구원 잠재적인 장치 탈취로 이어질 수 있는 심각한 취약점을 발견했습니다. 장치 탈취 심각한 취약점을 발견했습니다. 공격자는 이러한 취약한 드라이버를 익스플로잇하여 펌웨어에 무단으로 액세스하고 운영 체제 내에서 권한을 상승시킬 수 있습니다. 이 놀라운 발견은 드라이버의 취약점을 체계적으로 식별하기 위해 심볼릭 실행을 사용한 ScrewedDrivers 및 POPKORN을 포함한 이전 연구를 기반으로 합니다.

 

펌웨어 액세스 드라이버에 집중


보안 전문가들은 공격자가 디바이스 전체를 감염시킬 수 있는 심각한 위협을 발견했습니다.
전체 디바이스 손상잠재적으로 민감한 데이터를 위험에 빠뜨릴 수 있는 중대한 위협을 발견했습니다. 이 연구는 주로 포트 I/O 및 메모리 매핑 I/O를 통해 펌웨어 액세스를 제공하는 드라이버에 중점을 두었습니다. 확인된 34개 중 취약한 드라이버중 주목할 만한 드라이버는 다음과 같습니다:

  • AODDriver.sys
  • ComputerZ.sys
  • dellbios.sys
  • GEDevDrv.sys
  • GtcKmdfBs.sys
  • IoAccess.sys
  • kerneld.amd64
  • Ngiodriver.sys
  • Nvoclock.sys
  • PDFWKRNL.sys (CVE-2023-20598)
  • RadHwMgr.sys
  • rtif.sys
  • Rtport.sys
  • stdcdrv64.sys
  • TdkLib64.sys(CVE-2023-35841) 

커널 메모리 액세스 취약점


특히 우려되는 점은 확인된 드라이버 중 6개가 커널 메모리 액세스 권한을 부여한다는 것입니다. 이는 공격자가 권한을 상승시키고, 보안 솔루션을 우회하고, 커널 주소 공간 레이아웃 무작위화(KASLR)와 같은 보안 메커니즘을 잠재적으로 파괴할 수 있다는 것을 의미합니다. 따라서 이 취약점은 단순한 이론적인 문제가 아닙니다.

 

WDM 및 WDF 모델의 보안 위험


더욱 우려스러운 점은 인텔의 stdcdrv64.sys를 포함하여 확인된 드라이버 중 7개가 SPI 플래시 메모리에 저장된 펌웨어를 지우는 데 사용될 수 있다는 것입니다. 이러한 작업은 전체 시스템을 부팅할 수 없게 만들어 사용자 데이터와 시스템 기능에 심각한 위험을 초래할 수 있습니다. 다행히 인텔은 이미 이 문제를 해결하기 위한 수정 사항을 발표했습니다.

 

WDM 및 WDF 모델 취약성: 잠재적 위협


WDM 드라이버에 국한되지 않고, WDTKernel.sys 및 H2OFFT64.sys와 같은 특정 WDF 드라이버는 액세스 제어 측면에서 본질적으로 취약하지는 않지만 권한 있는 위협 행위자에 의해 무기화될 수 있습니다. 공격자는 이러한 드라이버를 악용하여 "취약한 드라이버 가져오기"(BYOVD) 공격을 실행할 수 있습니다. 다음을 포함한 악성 그룹
라자루스 그룹을 비롯한 악성 그룹이 이 기법을 사용하여 상승된 권한을 얻고, 손상된 엔드포인트에서 보안 소프트웨어를 비활성화하고, 탐지를 피하는 것이 관찰되었습니다.

 

분석 범위 확장


타카히로 하루야마는 현재 연구가 주로 펌웨어 액세스에 초점을 맞추고 있지만, 다른 공격 벡터를 포함하도록 분석을 쉽게 확장할 수 있다고 강조합니다. 예를 들어 임의의 프로세스를 종료하는 것으로 확장할 수 있습니다. 이는 보안을 유지하기 위해 지속적인 경계가 필요한 드라이버 취약점의 동적 특성을 강조합니다.

 

디바이스 보호


이러한 취약한 드라이버로 인해 발생할 수 있는 잠재적 위험을 이해하는 것은 다음과 같은 위험으로부터 자신을 보호하는 데 필수적입니다.
네트워크 디바이스 취약성. 다음은 시스템을 보호하기 위해 취할 수 있는 몇 가지 단계입니다:

  1. 최신 정보 유지: 드라이버 및 운영 체제에 대한 최신 보안 경고 및 패치를 계속 업데이트하세요. 
  2. 드라이버 업데이트: 드라이버를 정기적으로 업데이트하여 최신 보안 패치와 버그 수정이 적용되도록 하세요. 
  3. 보안 솔루션 구현: 신뢰할 수 있는 보안 소프트웨어를 사용하여 잠재적인 위협으로부터 디바이스를 보호하세요. 
  4. 데이터 백업: 중요한 데이터를 정기적으로 백업하여 시스템 장애 발생 시 데이터 손실을 방지하세요. 
  5. 주의: 확인되지 않은 출처에서 드라이버를 다운로드하고 설치할 때는 주의를 기울이세요. 공식 웹사이트와 신뢰할 수 있는 출처를 이용하세요. 
  6. 취약점 신고: 잠재적인 드라이버 취약점을 발견하면 관련 기관이나 공급업체에 신고하여 전반적인 보안을 강화할 수 있습니다. 

결론


결론적으로, 취약한
취약한 WDM 및 WDF 모델 은 끊임없이 진화하는 위협 환경을 극명하게 보여줍니다. 잠재적인 위협으로부터 디바이스를 보호하려면 사전 예방적이고 경계하는 접근 방식이 필요합니다. 최신 정보를 파악하고, 드라이버를 업데이트하고, 보안 솔루션을 구현함으로써 보안 솔루션을 구현하면 디바이스가 다음과 같은 보안 취약점의 희생양이 될 위험을 줄일 수 있습니다. 보안 취약점. 디바이스의 보안은 사용자의 손에 달려 있으므로 필요한 조치를 취하여 디바이스를 보호하세요.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스IS.PAGE.

 

요약
34개 WDM 및 WDF 모델이 취약합니다: 디바이스 보호
기사 이름
34개 WDM 및 WDF 모델이 취약합니다: 디바이스 보호
설명
전체 디바이스 탈취에 취약한 WDM 및 WDF 모델의 위험성에 대해 알아보세요. 보안 위협으로부터 디바이스를 보호하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기