[하루한줄] CVE-2021-24092: 12년동안 존재한 Windows Defender 권한상승 취약점

URL

CVE-2021-24092: 12 Years in Hiding – A Privilege Escalation Vulnerability in Windows Defender

Target

Windows Defender

Explain

Windows Defender에서 잘못된 파일 검증으로 인한 권한 상승 취약점이 발견되었습니다. 이는 2009년부터 존재해 약 12년 동안 수정되지 않은 취약점입니다.

BTR.sys 드라이버는 Windows Defender의 수정 프로세스로, 커널 모드에서 악성 소프트웨어에 의해 생성된 파일 시스템 및 레지스트리를 삭제하는 기능을 수행합니다.

해당 드라이버가 로드되고 활성화될 때 NTCreateFile 함수를 사용해 C:\Windows\Temp\BootClean.log 파일에 대한 핸들을 생성합니다. 이때 매개변수 CreateDisposition 필드에 파일이 존재하면 원본 파일을 삭제하고 새 파일을 생성하는 FILE_SUPERSEDE 옵션을 설정하는데, 해당 파일이 링크인지 여부를 검증하지 않아 시스템 권한으로 임의 파일을 덮어쓸 수 있습니다.

취약점을 트리거하는 방법은 아래와 같습니다.

해커가 C:\Windows\Temp\BootClean.log 를 임의 파일에 대한 하드 링크로 생성합니다.
Windows Defender에서 BTR 드라이버를 로드합니다.
해커는 하드 링크로 연결된 임의 파일을 멀웨어 등으로 덮어쓸 수 있습니다.

Microsoft는 2월 9일에 취약점에 대한 패치를 발표했습니다.

1day1line

cve windows lpe L0ch windows defender privilege escalation

L0ch

본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.

[하루한줄] Access files uploaded by employees to internal CDNs Previous

[하루한줄] CVE-2020-24550 : Open redirect in Episerver Find Next