[KISA] 주요 하드웨어 공급업체 드라이버 취약점을 악용한 사이버 공격 주의

ASUS, Toshiba, Intel, NVIDIA 등 주요 공급 업체 드라이버 보안 취약점 발견

▶ 주요 하드웨어 공급업체 드라이버 보안 취약점 발견
  - 펌웨어·하드웨어 보안 회사인 Eclypsium의 연구원들은 최소 20개의 공급 업체에서 생산한 40개 이상의

    드라이버에서 공격자가 시스템에 대한 관리자 권한을 획득하고 악성코드가 탐지되지 않고 숨길 수 있는

    보안 취약점을 발견
  - 하드웨어 드라이버는 특정 유형의 하드웨어 장치를 제어하여 운영체제와 올바르게 통신하는데 도움이

    되는 소프트웨어 프로그램으로 공격자가 드라이버 취약점을 이용할 경우 시스템을 손상시킨 후 사이버

    공격의 지속성을 유지하는데 가장 중요한 역할을 함
  - 이번에 발견된 취약한 드라이버는 아래와 같으며, 모두 Microsoft 인증을 받았음
     ※ American Megatrends International(AMI), ASRock, ASUSTeK Computer, ATI Technologies (AMD), Biostar,

        EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel, Micro-Star International (MSI), NVIDIA,

        Phoenix Technologies, Realtek Semiconductor, SuperMicro, Toshiba, 밝히지 않은 하드웨어 공급 업체 3개

        포함 20개 업체

▶ 드라이버 보안 취약점을 통해 지속적인 백도어 및 강력한 공격 가능
  - 장치 드라이버는 하드웨어와 운영 체제 사이에 있으며 대부분의 경우 운영체제 커널에 대한 액세스 권한이

    있으므로 구성 요소의 보안 취약점으로 인해 커널 계층에서 코드가 실행될 수 있어 이 공격을 통해 공격자가

    시스템에서 지속적으로 백도어를 설치할 수 있음
  - 연구원들이 발견한 새로운 취약점 중 일부는 커널 메모리, MSR(Model-Specific Registers), CR(Control Register),

     DR(Debug Register) 및 물리적 메모리의 임의 읽기/쓰기를 허용할 수가 있어 이로 인해 드라이버가 프록시

    역할을 하여 하드웨어 리소스에 대한 높은 권한의 액세스를 수행하여, 공격자는 시스템을 관리하는데 사용되는

    도구의 권한을 상승시키고 호스트에서 보이지 않게 유지할 수 있는 강력한 위협으로 전환할 수 있음
  - 일부 취약한 드라이버는 그래픽 카드, 네트워크 어댑터, 하드 드라이브 및 기타 장치와 상호 작용하여, 이러한

    장치 내의 악성코드가 네트워크를     통해 저장되고 표시되고 전송된 데이터를 읽고 쓰고 리다이렉션 할 수

    있고, DoS 또는 랜섬웨어 공격으로 모든 장치가 비활성화 될 수 있음

▶ 주요 드라이버 공급 업체 보안 패치 권고
  - 취약점의 영향을 받는 공급 업체에 보고했으며 Intel과 Huawei를 포함한 일부 공급 업체에서는 이미 패치

    업데이트를 발표하고 보안 권고를 발표
  - 장치 드라이버 취약점은 LoJax 악성코드처럼 운영체제를 완전히 다시 설치하더라도 운영체제 아래에 아래 있는

    펌웨어 링에 접근하여 악성코드를 지속할 수 있어서 다른 응용 프로그램 취약점보다 더 위험 함
  - 추후 GitHub를 통해 PoC 코드, 데모영상, 시스템에 설치된 드라이버에서 취약한 드라이버를 찾는 도구를 제공할 예정

[참조]
  - The Hacker News, “Over 40 Drivers Could Let Hackers Install Persistent Backdoor On Windows PC”, 2019. 08. 11,
     (https://thehackernews.com/2019/08/windows-driver-vulnerability.html/)

 작성 : KISA 사이버보안빅데이터센터 위협정보활용팀