[하루한줄] CVE-2022-27608: DLP 보안 솔루션 강제 비활성화 및 권한 상승 취약점
URL
Tampering With ForcePoint One DLP EndPoint
Target
- Forcepoint One DLP Endpoint 19.10.4281
Explain
DLP는 Data Loss Prevention, 중요 데이터가 유출되는 것을 방지하는 솔루션입니다.
당연히 DLP 솔루션은 비인가자의 강제 종료 시도를 막을 수 있어야 하는데요.
Forcepoint DLP Endpoint에서 간단한 레지스터 값 변조를 통해 공격자가 솔루션을 비활성화하고 더불어 시스템 권한 상승까지 가능한 취약점이 발견되었습니다.
공격자는 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpeca
레지스터의 키 3개의 값을 바꾸는 것으로 이 모든 걸 할 수 있었습니다.
Start
값은 기본적으로 0x02
로 이 값은 항상 로드되고 실행됨을 의미합니다.
그리고 Type
값은 기본적으로 0x10
으로 stand-alone process임을 나타냅니다.
공격자는 이 두 키의 값을 다른 값 (e.g. 0x1
)으로 바꾸고 재부팅을 하는 방법으로 솔루션을 비활성화가 가능했습니다.
또한 ImagePath
값을 조절하여 공격자의 프로그램을 실행시킬 수 있는데 SYSTEM 권한으로 실행되기 때문에 권한 상승까지 가능했는데요.
이러한 취약점이 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fppsvc
레지스터에서도 동일하게 나타나는 것이 확인되었습니다.
안타깝게도 해당 솔루션은 process 강제종료에 대한 취약점도 발견되었는데요.
해당 솔루션의 중요 프로세스인 fppsvc.exe
가 administrator 권한을 가지고 있다면 누구나 강제로 종료시킬 수 있었습니다.
물론 fppsvc.exe
는 종료되면 재 시작되도록 동작하지만 다시 실행되는데 걸리는 시간이 종료하는 데 걸리는 시간보다 길어 아래와 같은 간단한 구문을 통해 비활성화 시킬 수 있습니다.
FOR /L %N IN () DO taskkill /F /IM "fppsvc.exe"
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.