루트킷을 설치하고 장치의 무결성을 손상시키는 데 잠재적으로 악용될 수 있는 윈도우 8 이후의 모든 윈도우 기반 장치에 영향을 미치는 윈도우 플랫폼 바이너리 테이블(Windows Platform Binary Table, WPBT)의 패치되지 않은 취약점이 공개되었다.

이클립시움 연구원들은 월요일에 발표된 보고서에서 "이러한 결함으로 인해 모든 윈도우 시스템이 사기성 벤더별 테이블을 설치하는 쉽게 조작된 공격에 취약해진다. 이러한 테이블은 직접 물리적 액세스, 원격 액세스 또는 제조업체 공급망을 통해 공격자가 악용할 수 있다. 더욱 중요한 것은 이러한 마더보드 수준의 결함은 ACPI[고급 구성 및 전원 인터페이스]와 WPBT의 유비쿼터스 사용으로 인해 시큐어 코어와 같은 이니셔티브를 방해할 수 있다는 점이다"라고 말했다.

2012년 윈도우 8에 도입된 WPBT는 "부팅 펌웨어가 운영체제가 실행할 수 있는 플랫폼 바이너리를 윈도우에 제공"할 수 있게 하는 기능이다. 다시 말해, PC 제조업체들이 서명된 휴대용 실행 파일이나 UEFI 펌웨어 ROM 이미지의 일부로 제공되는 다른 공급업체별 드라이버를 가리키도록 허용하여 윈도우 초기화 중에 그리고 운영 체제 코드를 실행하기 전에 물리적 메모리에 로드될 수 있다.

WPBT의 주요 목적은 도난방지 소프트웨어와 같은 중요한 기능이 운영체제가 수정, 포맷 또는 재설치된 시나리오에서도 유지될 수 있도록 하는 것이다. 그러나 이러한 소프트웨어를 "무한으로 장치에 고정"할 수 있는 기능성을 감안하여, 마이크로소프트는 윈도우 시스템에 루트킷을 배포할 가능성을 포함하여 WPBT의 오남용으로 발생할 수 있는 잠재적인 보안 위험에 대해 경고했다.

마이크로소프트는 문서에서 "이 기능은 윈도우 컨텍스트에서 시스템 소프트웨어를 지속해서 실행할 수 있는 기능을 제공하기 때문에 WPBT 기반 솔루션이 최대한 안전해야 하고 윈도우 사용자를 악용 가능한 조건에 노출하지 않는 것이 중요하다. 특히 WPBT 솔루션에는 맬웨어(즉, 적절한 사용자 동의 없이 설치된 악성 소프트웨어 또는 원치 않는 소프트웨어)가 포함되어서는 안 된다"라고 설명했다.

이클립시움이 발견한 취약점은 WPBT 메커니즘이 해지되거나 만료된 인증서가 있는 서명된 바이너리를 받아들여 무결성 검사를 완전히 우회할 수 있기 때문에 공격자가 이미 사용 가능한 만료된 인증서로 악의적인 바이너리에 서명할 수 있고 장치가 부팅될 때 커널 권한으로 임의의 코드를 실행할 수 있다는 사실에 뿌리를 두고 있다.

이러한 결과에 대응해 마이크로소프트는 시스템에서 실행할 수 있는 바이너리를 엄격하게 제어하기 위해 WDAC(Windows Defender Application Control) 정책을 사용할 것을 권장한다.

최신 공개는 2021년 6월에 개별로 발표된 발견들에 따른 것으로, BIOS 업데이트 중에 장치의 펌웨어 내에서 원격으로 실행할 수 있도록 무기화할 수 있는 BIOS Disconnect라는 네 가지 취약점 집합과 관련된 것으로, 부팅 프로세스 보안과 관련된 복잡성과 과제를 더욱 강조하고 있다.

연구진은 "이 취약점은 여러 벡터(예: 물리적 액세스, 원격 및 공급망)와 여러 기술(예: 악성 부팅로더, DMA 등)을 통해 잠재적으로 악용될 수 있다. 조직은 이러한 벡터를 고려하고, 사용 가능한 모든 수정 사항을 적용하고, 기기에 대한 잠재적인 손상을 식별하기 위해 보안에 대한 계층적 접근 방식을 채택해야 한다."고 말했다.

★정보보안 대표 미디어 데일리시큐!★