Home > 전체기사
애즈락 마더보드 유틸리티에서 심각한 취약점 다수 나와
  |  입력 : 2018-10-29 10:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대만의 대형 마더보드 업체 애즈락의 유틸리티에서 취약점 나타나
권한 상승시켜 주는 취약점 대부분...패치 완료된 새 버전 적용 필수


[보안뉴스 문가용 기자] 보안 업체 시큐어오스 랩스(SecureAuth Labs)의 분석가들이 애즈락(ASRock) 유틸리티를 통해 설치되는 저단계 드라이버에서 다량의 취약점들을 발견했다.

[이미지 = iclickart]


애즈락은 2002년 설립된 회사로, 현재 세계에서 3번째로 큰 마더보드 브랜드다. 본사는 대만에 있으며, 유럽과 미국 시장에도 진출해 있는 상태며, 각종 유틸리티를 통해 사용자들이 일부 기능과 옵션을 조정할 수 있도록 하고 있다.

그러나 시큐어오스는 AsrDrv101.sys와 AsrDrv102.sys라는 저단계 드라이버에서 여러 개의 보안 오류들을 발견했다고 발표했다. 이 두 가지 드라이버는 ASRock RGBLED를 비롯해 여러 애즈록 유틸리티에서 필요로 하는 것이다. 이 취약점들을 익스플로잇 할 경우 로컬의 공격자가 권한을 상승시킬 수 있게 된다.

유틸리티별로 파악하자면 취약점이 발견된 곳은 ASRock RGBLED 외에 A-Tuning, F-Stream, RestartToUEFI라고 한다. 시큐어오스는 이를 애즈락 측에 알렸고, 애즈락은 패치를 발표해 배포 중에 있다.

패치가 된 버전은 다음과 같다.
1) ASRock RGBLED : 1.0.36
2) A-Tuning : 3.0.216
3) F-Stream : 3.0.216
4) RestartToUEFI : 1.0.7

저단계 드라이버란 엠베드 된 집적 회로의 상태를 요청하고 프로그래밍 하는 데에 활용되는 것으로, 애플리케이션들이 팬 기능이 어떤지, 클록 주파수가 어느 정도인지, LED 색상이 현재 무엇인지, 시스템 온도가 어느 정도로 올랐는지 등을 확인하는 데 필요하다.

이번에 발견된 가장 큰 문제 중 하나는 제어 레지스터(CR) 값을 읽고 쓰는 기능을 드라이버가 노출시킨다는 것으로, 이 오류에는 CVE-2018-10709라는 취약점 번호가 붙었다. 이 취약점을 악용하면 상승된 권한을 가지고 코드를 실행하는 게 가능해진다.

또 다른 취약점은 드라이버 내 인풋과 아웃풋 제어코드와 관련된 것으로, 임의의 물리 메모리 영역에서 가능한 읽기와 쓰기 기능을 노출시킨다. 이 취약점은 CVE-2018-10710이라는 취약점 번호가 붙었고, 역시 권한 상승을 유발시킨다.

기계 특정 레지스터(MSR)을 읽고 쓸 수 있는 기능을 노출시키는 취약점도 발견됐다. 이 취약점에는 CVE-2018-10711이라는 번호가 붙었고, 공격자가 악용할 경우 임의의 ring-0 코드를 실행시킬 수 있게 된다고 한다.

CVE-2018-10712 취약점도 있다. IO 포트로부터 혹은 IO 포트로 향하는 데이터를 읽거나 쓰게 할 수 있는 기능을 노출시키는 것으로, 공격자가 상승된 권한으로 코드를 실행시킬 수 있게 된다.

시큐어오스가 이 문제들을 애즈락 측에 알린 건 지난 3월의 일이다. 애즈락이 이 문제들을 접수해 해결한 것은 4월이다. 그러나 시큐어오스에 의하면 패치가 적용된 버전의 유틸리티들이 발표된 건 8월이라고 한다. 아직 문제가 해결된 시점과, 패치가 배포되기 시작한 시점 사이의 시간 차이에 대한 설명은 없다.

3줄 요약
1. 세계 3대 마더보드 업체 애즈락의 유틸리티에서 취약점 다수 발견됨.
2. 대부분 권한을 상승시킬 수 있게 해주는 취약점들로, 3월에 보고됨.
3. 패치가 개발된 건 4월, 배포된 건 8월. 시간 차이에 대한 설명은 아직 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)