마이크로소프트(Microsoft)의 윈도우 드라이버 서명 강제(DSE) 기능과 윈도우 업데이트 프로세스에 취약점이 발견되어 공격자가 커널 보안을 우회하고 최신 보안 패치를 적용한 윈도우 시스템에서도 악성 드라이버를 설치할 수 있는 심각한 보안 위협이 발생했다. 이 취약점을 발견한 이스라엘 보안 연구원 알론 레비브(Alon Leviev)는 ’윈도우 다운데이트(Windows Downdate)’라는 도구를 이용해 윈도우 운영체제(OS) 구성 요소를 이전 버전으로 롤백하여 이미 해결된 취약점을 다시 활성화하는 방식을 시연했다.
레비브는 마이크로소프트 윈도우 업데이트의 아키텍처를 악용해 중요한 OS 파일을 과거 취약점이 있는 버전으로 대체할 수 있음을 밝혔다. 특히 ci.dll(코드 무결성) 라이브러리를 이전 버전으로 대체함으로써 DSE 보호 기능을 무력화할 수 있으며, 공격자는 이 방식으로 서명이 없는 악성 드라이버를 로드하여 커널 수준에서 임의의 코드 실행을 수행할 수 있게 된다. 이는 기존 보안 체계가 무력화되는 상황을 의미하며, 공격자는 이를 통해 보안 장치를 비활성화하거나 숨겨진 프로세스와 네트워크 활동을 실행할 수 있다.
레비브의 연구에 따르면 가상화 기반 보안(VBS)이 일부 이러한 공격을 방지할 수 있지만, 기본 VBS 설정이 UEFI 잠금을 포함하지 않아 공격자가 레지스트리 키를 조작해 VBS를 비활성화할 수 있는 것으로 드러났다. 이는 VBS가 활성화되어 있어도 완벽한 보호를 제공하지 않는다는 점을 의미하며, 공격자는 EnableVirtualizationBasedSecurity와 RequirePlatformSecurityFeatures 레지스트리 키를 변경해 보안을 우회할 수 있다.
마이크로소프트는 해당 취약점의 일부를 2024년 8월과 10월에 배포한 패치에 포함해 수정했으나, 모든 공격 경로가 차단된 것은 아니다. 마이크로소프트는 현재 문제 해결을 위해 포괄적인 보안 업데이트를 개발 중이며, 보안 전문가들은 완전한 보호를 위해 UEFI와 맨더토리 모드가 설정된 VBS 사용을 권장했다. 맨더토리 모드는 윈도우 보안 설정 중 하나로, 가상화 기반 보안(VBS) 기능의 안정성을 높이기 위해 활성화할 수 있는 고급 보호 모드다.