Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Windows 10 버그로 인해 특정 경로를 열 때 BSOD 충돌이 발생한다
작성일 2021-01-18 조회 175

Windows 10

 

 

Windows 10의 버그는 브라우저의 주소 표시줄에서 특정 경로를 열거나 다른 Windows 명령어를 사용하면 운영 체제가 Blue Screen of Death와 충돌한다.

 

지난 주, BleepingComputer는 Windows 보안 연구원이 트위터에 공개한 두 가지 버그가 다양한 공격에서 공격자들에 의해 악용될 수 있다는 사실을 알게 되었다.

 

첫 번째 버그는 권한이 없는 사용자 또는 프로그램에서 단일 명령을 입력하여 NTFS 볼륨이 손상된 것으로 표시되도록 한다. chkdsk는 많은 테스트에서 이 문제를 해결했지만 테스트 중 하나에서 명령으로 인해 하나의 드라이드가 손상되어 Windows가 시작되지 않는 것을 보여줬다.

 

 

이 경로를 열면 BSOD가 발생한다

 

10월부터 Windows 보안 연구원 Jonas Lykkegaard는 Chrome 주소 표시줄을 입력할 때 Windows 10이 즉시 충돌하고 BSOD를 표시하는 경로에 대해 여러 번 트윗했다.

 

개발자가 Windows 장치와 직접 상호 작용하려는 경우 Win32 장치 네임 스페이스 경로를 다양한 Windows 프로그래밍 함수에 대한 인수로 전달할 수 있다. 예를 들어, 이를 통해 응용 프로그램은 파일 시스템을 거치지 않고 실제 Disk와 직접 상호 작용할 수 있다.

 

Likkegaard는 BleepingComputer에 'console multiper driver'를 위한 Win32 장치 네임스페이스 경로를 발견했으며, '커널/사용자 모드 ipc'에 사용되었다고 말했다. 권한이 낮은 사용자라도 다양한 방법으로 경로를 열면 Windows 10이 충돌한다.

 

\\.\global\root\device\condrv\kernelconnect

  

이 장치에 연결할 때 개발자는 'attach'확장 속성을 전달하여 장치와 올바르게 통신해야 한다.

 

 

첨부 확장 속성을 표시하는 CDCreateKernlConnection

[그림1. 'attach' 확장 특성을 보여주는 CDCreateKernlConnection]

 

 

Likkegaard는 부적절한 오류 검사로 인해 속성을 전달하지 않고 경로에 연결하려고 하면 Windows 10에서 BSOD(Blue Screen of Death) 충돌이 발생하는 예외가 발생한다는 것을 발견했다.

 

또한, 권한이 낮은 Windows 사용자가 이 경로를 사용하여 장치에 연결을 시도할 수 있으므로 컴퓨터에서 실행되는 모든 프로그램이 Windows 10을 쉽게 충돌시킬 수 있다.

 

테스트에서 이 버그가 Windows 10 버전 1709 이상에 있음을 확인했다.

 

Microsoft의 대변인은 BleepingComputer에 "Microsoft는 가능한 한 빨리 영향을 받는 장치에 대한 업데이트를 제공할 것입니다."라고 말했다.

 

 

위협 행위자는 버그를 악용할 수 있다

 

이 버그가 원격 코드 실행 또는 권한 상승에 악용 될 수 있는지 여부는 확인되지 않았지만 현재 형태로는 컴퓨터에 대한 서비스 거부 공격으로 사용될 수 있다.

 

Likkegaard는 \\.\global\root\device\condrv\kernelconnect를 가리키는 설정이 있는 Windows URL 파일(.url)을 공유했다. 파일이 다운로드되면 Windows 10은 문제가 있는 경로에서 URL 파일의 아이콘을 렌더링하여 Windows 10을 자동으로 충돌시킨다.

 

 

.  globalroot  device  condrv  kernelconnect에 액세스하여 발생하는 BSOD

[그림2. \\.\global\root\device\condrv\kernelconnect에 액세스하여 발생하는 BSOD]

 

 

BleepingComputer는 Windows 로그인 시 자동으로 BSOD를 발생시키는 방법을 포함하여 해당 버그를 악용 할 수 있는 다양한 방법을 발견했다. 

 

실제 시나리오에서 이 버그는 네트워크에 액세스 할 수 있고 공격 중에 흔적을 숨기려는 위협 행위자에 의해 악용 될 수 있다.

 

관리자 자격 증명이 있는 경우 네트워크의 모든 Windows 10 장치에서 해당 경로에 액세스하는 명령을 원격으로 실행하여 충돌을 일으킬 수 있다. 또한, 네트워크에 혼란을 발생시켜 조사가 지연되거나 관리 제어가 특정 컴퓨터에 대한 공격을 탐지하지 못하게 할 수 있다.

 

2017년 대만 극동 국제 은행(FEIB)의 은행 강도 사건에서 위협 행위자들이 유사한 공격 시나리오를 사용했다. 이 공격에서 공격자는 공격에 대한 조사를 지연시키기 위해 네트워크에 Hermes 랜섬웨어를 배포했다.

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/windows-10-bug-causes-a-bsod-crash-when-opening-a-certain-path/

첨부파일 첨부파일이 없습니다.
태그 Windows 10 버그  BSOD 충돌