ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 정보 단편 보고서
윈도우 커널(Windows Kernel) 취약점 보고서: CVE-2024-38106 외
2024.11.20

✅ 보고서 제목:


Windows Kernel 취약점에 대한 간략한 개요



✅ 보고서 요약:


- 2024년 8월 13일, Windows Kernel 취약점인 CVE-2024-38106이 긴급하게 패치되었습니다.

- Windows 8월 누적 업데이트를 적용하지 않은 Windows 및 Windows Server 제품이 취약한 것으로 밝혀졌습니다.

- 2024년 8월 13일, CVSSv3:7.0 HIGH 취약점으로 발표되었고 패치가 진행되었습니다.

- 2024년 8월 13일, 북한 배후 APT 그룹의 실제 악용사례가 확인되어 빠르게 대응 할 것을 권장합니다.



📌 공격 정황은 어떻게 되나요?


- 2024년 8월 13일, 북한 배후의 APT 그룹 Lazarus와 관련된 위협 그룹인 Citrine Sleet이 CVE-2024-7971 취약점을 통해 Chromium 렌더러 프로세스에서 임의 코드를 실행한 이후, 해당 취약점을 사용하여 Sandbox Escape 및 권한 상승을 수행하고 최종적으로 FudModule 루트킷을 배포한 정황이 확인되었습니다.



📌 취약점 발생 원인은 어떻게 되나요?


- 해당 취약점은 Windows 커널 API인 NtSetInformationWorkerFactor가 속성 정보 설정을 위해 worker factory 오브젝트에 접근하는 동안 적절한 접근 제어가 이루어지지 않아 발생하는 Race Condition으로 인한 권한 상승 취약점입니다.


- Windows 운영체제의 커널 이미지 ntoskrnl.exe는 유저모드 스레드 풀 메커니즘에서 사용되는 worker factory 오브젝트 관리 API를 제공합니다.

  •   NtCreateWorkerFactory: worker factory 오브젝트 생성 API
  •   NtSetInformationWorkerFactory: 생성된 worker factory 오브젝트의 idle timeout 등 속성 정보 설정 API
  •   NtShutdownWorkerFactory: 사용이 끝난 worker factory 오브젝트 해제 API


- NtSetInformationWorkerFactory 함수는 열거형 클래스 WORKERFACTORYINFOCLASS 정의에 따라 WorkerFactoryIdleTimeout을 인수로 전달하는 경우 KeSetTImer2 함수를 호출하는 루틴을 수행합니다.

- 이 때 worker factory 오브젝트에 액세스 전 해당 오브젝트의 상태 플래그를 확인하지 않아 race condition 취약점이 발생합니다.



✅ 위협 탐지 권장 사항 및 조치 방안:


- 위협탐지 룰을 업데이트 하고 지속적인 모니터링 및 최신버전의 패치를 권장합니다.

- 패치가 불가능 할 경우 조치방안에 따라 조치할 것을 권장합니다.


- 보안 업데이트된 버전을 다운로드하여 설치를 진행합니다.

  • Windows 11 Version 24H2 2024-08 Cumulative Update
  • Windows 11 Version 23H2 2024-08 Cumulative Update
  • Windows 11 Version 22H2 2024-08 Cumulative Update
  • Windows 11 Version 21H2 2024-08 Cumulative Update
  • Windows 10 Version 22H2 2024-08 Cumulative Update
  • Windows 10 Version 21H2 2024-08 Cumulative Update
  • Windows 10 Version 1809 2024-08 Cumulative Update
  • Windows 10 Version 1607 2024-08 Cumulative Update
  • Windows 10 2024-08 Cumulative Update
  • Windows Server 2022, 23H2 Edition 2024-08 Cumulative Update
  • Windows Server 2022 2024-08 Cumulative Update
  • Windows Server 2019 2024-08 Cumulative Update
  • Windows Server 2016 2024-08 Cumulative Update


- 패치가 불가능 할 경우 하단의 조치방안에 따라 조치할 것을 권장합니다.

  • ntoskrnl.exe는 시스템에서 기본적으로 실행되는 이미지이므로 패치 외 취약점을 완화할 수 있는 방법이 존재하지 않습니다.
  • 해당 취약점을 악용하기 위해서는 코드 실행 권한이 필요하므로 원격 코드 실행이 가능한 공격 표면을 최소화하고 모니터링하는 것을 권장합니다.


⚡  추가 공유 사항:


비슷한 시기에 Windows Ancillary Function Driver for WinSock (AFD.sys) 의 취약점 또한 긴급하게 패치되었으며 이 또한 2024년 6월, 북한 배후의 APT 그룹인 Lazarus와 관련된 위협 그룹 Citrine Sleet이 해당 취약점을 악용하여 권한 상승을 수행하고 커널의 메모리 공간에 FudModule 루트킷을 배포한 정황이 확인되었습니다.


요약 내용을 다음과 같이 공유드립니다.


- 2024년 8월 13일, Windows Ancillary Function Driver for WinSock (AFD.sys) 의 취약점인 CVE-2024-38193이 긴급하게 패치되었습니다.

해당 취약점은 2024-08 누적 업데이트 적용 이전의 모든 Windows 제품군에서 취약한 것으로 밝혀졌습니다.

2024년 8월 13일, CVSS3.1: 7.8 HIGH 취약점으로 발표되었고 패치가 진행되었습니다.

2024년 6월, Lazarus와 연관된 위협 그룹인 Citrine Sleet에 의한 실제 악용 사례가 확인되어 빠르게 대응할 것을 권장합니다.



🧑‍💻 보고서 작성자: S2W TALON


👉 보고서 전문 문의하기: https://s2w.inc/contact


 


위협 정보 단편 보고서
구글 크롬(Google Chrome) 취약점 보고서: CVE-2024-7971
2024.11.15
이전 글
뉴스 하이라이트
11월 2주차 DDW 위클리 하이라이트
2024.11.21
다음 글
목록