Black Hat 2024에서 SafeBreach 연구원인 Anon Leviev는 Windows 10, Windows 11 및 Windows Server 시스템에서 보안 패치를 조용히 되돌릴 수 있는 도구인 Windows Downdate를 시연했습니다. 이 도구는 위협 행위자들이 다운그레이드 공격을 통해 이전의 보안 취약점을 재도입할 수 있게 해줍니다. Leviev는 이후 이 도구를 오픈 소스 Python 기반 프로그램과 미리 컴파일된 Windows 실행 파일로 공개했습니다.
Windows Downdate는 Windows Update의 일부를 우회하여 사용자 정의 다운그레이드 패키지를 생성하며, 과거의 취약점을 노출시켜 사용자가 시스템을 패치되지 않은 상태처럼 손상시킬 수 있도록 합니다. 이 도구는 CVE-2024-21302 및 CVE-2024-38202 취약점을 악용하며, 엔드포인트 탐지 및 대응(EDR) 솔루션에 의해 사용이 감지되지 않습니다. 특히, 다운그레이드에도 불구하고 Windows Update는 시스템이 최신 상태라고 보고합니다.
Leviev는 이 도구를 사용하여 Hyper-V 하이퍼바이저, Windows Kernel, NTFS 드라이버 및 필터 관리자 드라이버를 이전 버전으로 다운그레이드하는 예를 제공했습니다. 그는 이 도구를 사용하여 추가 취약점을 식별하기 위한 추가 연구를 권장했습니다.
Microsoft는 CVE-2024-21302 취약점을 해결하기 위해 8월 7일 보안 업데이트를 발표했지만, CVE-2024-38202에 대한 패치는 아직 대기 중입니다. 패치가 제공될 때까지 Microsoft는 사용자가 다운그레이드 공격으로부터 보호하기 위해 "객체 접근 감사(Audit Object Access)" 설정 구성, 업데이트 작업 제한, 그리고 악용 시도를 탐지하기 위한 정기 감사 수행과 같은 특정 지침을 따를 것을 권장합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.