SafeBreach 연구원 Anon Leviev가 개발한 Windows Downdate라는 개념 증명 도구는 Windows 업데이트 과정을 악용하여 중요 OS 구성요소를 비가역적으로 다운그레이드할 수 있습니다. 이 취약점을 이용하면 공격자가 과거에 패치된 보안 취약점을 다시 활용할 수 있게 됩니다.
Microsoft는 2024년 2월부터 이 문제를 인지하고 있으며, CVE-2024-38202와 CVE-2024-21302의 두 개의 공식 취약점 페이지를 통해 대응책을 마련 중입니다. 이 연구는 2024년 Black Hat USA와 DEF CON 32에서 발표되었습니다.
Windows Downdate는 Windows 업데이트 메커니즘의 중대한 결함을 악용하여 무결성 검증과 신뢰할 수 있는 설치 프로그램 적용을 우회할 수 있습니다. 이를 통해 드라이버, DLL 파일, NT 커널의 무음 다운그레이드가 가능하며, Windows Update나 복구 도구에서도 탐지되지 않습니다.
Leviev의 발견에 따르면 Secure Kernel과 Hyper-V를 포함한 전체 가상화 스택이 위험에 노출되어, UEFI 잠금이 적용된 경우에도 가상화 기반 보안을 비활성화할 수 있습니다. 따라서 완전히 패치된 Windows 11 시스템도 수천 개의 과거 취약점에 다시 노출될 수 있어, '완전 패치'라는 개념이 무의미해질 수 있습니다.
이 공격이 아직 공개되지 않았지만, 운영 체제 보안에 대한 심각한 우려를 초래하고 있습니다. Leviev는 다른 OS도 이와 유사한 취약점에 노출될 수 있다고 지적했습니다. Microsoft는 이 취약점이 널리 악용되기 전에 해결책을 마련해야 할 것입니다. 하지만 이런 공격이 존재한다는 사실 자체가 매우 경고할 만한 일이며, 특히 VBS 취약점이 오랫동안 문제가 되었다는 점에 주목할 필요가 있습니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.