Home > 전체기사
인텔의 RST에서 권한 상승 취약점 발견돼
  |  입력 : 2019-12-18 12:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
디스크 퍼포먼서와 안정성 높여주는 RST...DLL 로딩 시 확인 안 해
공격자가 아무 DLL 가져다두면 RST가 로딩...권한이 시스템으로까지 상승해


[보안뉴스 문가용 기자] 인텔(Intel)이 ‘급속 저장 기술(Rapid Storage Technology, RST)’에서 발견된 취약점을 패치했다. 로컬의 사용자가 시스템(System)으로까지 권한을 상승시킬 수 있게 해주는 취약점이다.

[이미지 = iclickart]


인텔의 RST는 윈도우 기반 애플리케이션으로, 인텔 칩을 기반으로 한 많은 컴퓨터 장비들에 제공되며, SATA 디스크의 퍼포먼스와 안정성을 크게 향상시켜준다.

이 RST에서 취약점을 발견한 건 세이프브리치(SafeBreach)라는 보안 업체로, “로컬 사용자가 권한을 상승시킨 뒤 방어 장비들을 무력화시키고 임의의 무서명 DLL을 프로세스에 주입시킴으로써 공격 지속성까지 확보할 수 있게 해준다”고 설명했다. 하지만 공격을 성공시키기 위해서 공격자는 관리자 권한을 가지고 있는 상태여야 한다.

이는 최근 세이프브리치가 카스퍼스키(Kaspersky), 맥아피(McAfee), 시만텍(Symantec), 어베스트(Avast), 아비라(Avira) 등의 보안 제품에서 발견한 취약점들과 비슷한 성격을 가지고 있다. 공격자가 악성 DLL을 로딩함으로써 권한을 상승시킨다는 점에서 말이다.

“보다 구체적으로 설명하자면, 인텔의 RST와 관련이 있는 프로세스 중 IAStorDataMgrSvc.exe라는 것이 있습니다. 시스템 권한으로 서명되어 있으며, 마찬가지로 시스템 권한 아래 실행됩니다. 실행 시 최소 네 가지 DLL을 로딩하려고 하는데, 그 DLL들이 전부 지정된 경로에 존재하지 않습니다.” 세이프브리치의 설명이다.

그렇다는 건 공격자가 1) 자신만의 DLL을 만들어 2) IAStorDataMgrSvc.exe가 검색하는 경로에 가져다두면 공격을 성립시킬 수 있다는 뜻이 된다. 위에 언급된 여러 보안 회사의 제품들도 정확히 같은 개념으로 공격이 가능했었다.

“이 문제의 가장 근간에 있는 건, 로딩하는 DLL 파일들을 확인하지 않는다는 겁니다. 또한 원래의 프로세스에서 로딩하려는 DLL이 존재하지 않는다는 것도 취약점으로서 작용하고요. 그러므로 공격자는 아무 DLL 파일이나 실행시킬 수 있게 되는 겁니다.”

이 문제를 성공적으로 익스플로잇 할 경우 공격자는 악성 페이로드를 로딩해 실행시킬 수 있게 된다. 탐지에 걸리지도 않는다. 또한 RST가 실행될 때마다 같은 공격을 반복적으로 진행할 수도 있다. 즉, 지속성 확보도 가능하다는 것이다.

인텔은 RST 17.7.0.1006 이전 버전에서 해당 문제가 존재함을 확인했고, “최대한 빠른 시일 안에 패치를 발표할 것”이라고 약속했다.

이 취약점에는 CVE-2019-14568이라는 관리 번호가 붙었고, CVSS 점수는 6.7점을 기록했다.

3줄 요약
1. 인텔의 RST에서 DLL 로딩과 관련된 취약점 발견됨.
2. 공격자가 임의의 DLL을 대신 로딩시킴으로서 권한을 상승시킬 수 있음.
3. 인텔은 빠른 시일 안에 패치 발표한다고 발표.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)