Microsoft Windows의 보안 업데이트 권고 (CVE-2024-21338)

개요

2024년 2월 13일 Microsoft에서는 윈도우 커널 권한 상승 취약성(Windows Kernel Elevation of Privilege Vulnerability) CVE-2024-21338 패치를 발표하였다. 해당 취약성은 윈도우 기능인 AppLocker의 드라이버로 알려진 “appid.sys”의 특정 IOCTL에서 발생한다. 공격자는 취약성을 악용하여 임의의 커널 메모리 영역에 읽기/쓰기를 수행할 수 있으며 공격자의 의도에 따라 보안 제품을 무력화하거나 시스템 권한 획득이 가능하다. 최근 Lazarus 공격 그룹이 보안 제품을 무력화하기 위해 CVE-2024-21338을 사용했다는 분석 내용이 AVAST로부터 보고되었다. 따라서 Windows 운영체제 사용자들은 최신 보안 패치로 업데이트 할 것을 권고한다.

설명

공격자가 커널 모드에서 코드를 실행하기 위해 취약한 드라이버를 활용하는 것을 BYOVD(Bring Your Own Vulnerable Driver)(T1068)라고 한다. BYOVD는 보안 제품을 무력화하고 시스템 권한을 얻는데 이용된다. 2022년 9월 22일, ASEC 블로그를 통해 북한 배후로 지목되는 Lazarus 공격 그룹이 해당 기법을 활용하여 보안 제품을 무력화하는 공격 기법에 대해 자세히 소개하였다. 당시 Lazarus 그룹은 “ene.sys”라는 이름의 WinIO(오픈소스) 기반의 드라이버 파일을 시스템에 생성하였지만 이번에 확인된 공격 방식에서는 취약한 드라이버가 시스템이 존재하는 상황이었기 때문에 공격은 더욱더 은밀하게 진행되었을 것으로 보인다. 또한 Microsoft의 정상 드라이버 모듈을 악용하였기 때문에 파급력이 매우 클 것으로 예상된다.

취약점 및 패치 정보

취약점 정보

• CVE-2024-21338: Windows 커널 권한 상승 취약성 (CVSS 3.1 Score: 7.8, High)

패치 정보

CVE-2024-21338 취약점의 영향을 받는 Windows 제품 버전은 다음과 같다.

• Windows 10 Version 1809
• Windows 10 Version 21H2
• Windows 11 version 21H2
• Windows 10 Version 22H2
• Windows 11 Version 22H2
• Windows 11 Version 23H2
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2022, 23H2 Edition (Server Core installation)

다음은 CVE-2024-21338 취약점의 각 제품 별 상세 패치정보이다.

해결 방안

최신 Microsoft 윈도우 운영체제 업데이트
– https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338

참고

• Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day – Avast Threat Labs
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338
• https://knvd.krcert.or.kr/elkDetail.do?CVEID=CVE-2024-21338

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.