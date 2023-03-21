보안

화요일 패치 → 수요일 악용: 24시간 내에 WinSock(afd.sys)용 Windows 보조 기능 드라이버 생성

프라이버시 실드를 보여주는 개인정보 보호 및 책임 기술 리드스페이스 그림

작성자

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

'화요일 패치, 수요일 악용'은 매달 보안 패치가 공개되는 다음 날 취약점이 무기화되는 것을 가리키는 오래된 해커들의 격언입니다. 보안이 개선되고 공격 완화 방법이 더욱 정교해짐에 따라 무기화된 악용을 만드는 데 필요한 연구와 개발의 양이 증가했습니다. 이는 특히 메모리 손상 취약성과 관련이 있습니다.

블로그 게시물용으로 만든 스크린샷

그림 1 - 악용 타임라인

그러나 Windows 11 커널에 새로운 기능(및 메모리 안전하지 않은 C 코드)이 추가됨에 따라 새로운 공격 표면이 도입될 수 있습니다. 이 새로 도입된 코드를 집중적으로 살펴봄으로써 사소하게 무기화될 수 있는 취약점이 여전히 자주 발생한다는 것을 보여줍니다. 이 블로그 게시물에서는 Windows 11의 로컬 권한 상승(LPE)을 위한 Winsock용 Windows 보조 기능 드라이버인 afd.sys의 취약점을 분석하고 악용하는 방법을 설명합니다. 저희 둘 다 이 커널 모듈에 대한 경험이 전혀 없었지만, 약 하루 만에 취약점을 진단하고, 재현하고, 무기화할 수 있었습니다. 악용 코드는 여기에서 확인할 수 있습니다.

패치 차이점 및 근본 원인 분석

Microsoft Security Response Center(MSRC)가 발표한 CVE-2023-21768 세부 사항에 따르면, 이 취약점은 이진 파일명이 afd.sys인 보조 기능 드라이버(AFD) 내에 존재합니다. AFD 모듈은 Winsock API의 커널 진입점입니다. 이 정보를 사용하여 2022년 12월의 드라이버 버전을 분석하고 2023년 1월에 새로 출시된 버전과 비교했습니다. 이러한 샘플은 Microsoft 패치에서 변경 사항을 추출하는 시간이 많이 소요되는 프로세스 없이 Winbindex에서 개별적으로 얻을 수 있습니다. 분석된 두 가지 버전은 아래와 같습니다.

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608(2022년 12월)
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105(2023년 1월)

Ghhidra는 이 두 파일의 바이너리 내보내기를 생성하여 BinDiff에서 비교할 수 있도록 했습니다. 일치하는 기능에 대한 개요는 아래와 같습니다.

AFD.sys 바이너리 비교로 만든 스크린샷

그림 2 - AFD.sys 바이너리 비교

단 하나의 기능만 변경된 것으로 보입니다. afd!AfdNotifyRemoveIoCompletion . 이로 인해 취약점 분석 속도가 크게 빨라졌습니다. 그런 다음 두 기능을 비교했습니다. 아래 스크린샷은 Binary Ninja에서 디컴파일된 코드를 볼 때 패치 전후에 변경된 코드를 보여줍니다.

패치 전, afd.sys version 10.0.22621.608 .

블로그 게시물용으로 만든 스크린샷

그림 3 - afd!AfdNotifyRemoveIoCompletion 사전 패치

패치 후, afd.sys 버전 10.0.22621.1105.

블로그 게시물용으로 만든 스크린샷

그림 4 - 패치 후 afd!AfdNotifyRemoveIoCompletion

위에 표시된 이 변경 사항은 식별된 기능에 대한 유일한 업데이트입니다. 몇 가지 간단한 분석을 통해 다음을 기반으로 점검이 수행되고 있음을 알 수 있습니다. PreviousMode .만약 PreviousMode 값이 0이면(호출이 커널에서 시작됨을 나타냄) 알 수 없는 구조의 필드로 지정된 포인터에 값이 기록됩니다. 반면, PreviousMode 값이 0이 아닌 경우, 필드에 설정된 포인터가 사용자 모드 내에 있는 유효한 주소인지 확인하기 위해 ProbeForWrite가 호출됩니다.

패치 전 버전의 드라이버에서는 이 검사가 누락되었습니다. 이 함수에는 다음에 대한 특정 스위치 문이 있으므로 PreviousMode , 개발자가 이 검사를 추가하려고 했지만 잊어버렸다는 가정이 있습니다 (우리 모두는 때때로 커피가 부족할 때가 있습니다☕!).

이 업데이트를 통해 공격자가 미지의 구조의field_0x18 에서 제어된 값을 사용하여 이 코드 경로에 도달할 수 있음을 추론할 수 있습니다. 공격자가 이 필드를 커널 주소로 채울 수 있다면 임의의 커널 Write-Where 프리미티브를 생성할 수 있습니다. 이 시점에서는 어떤 값이 쓰여지는지는 명확하지 않지만, 어떤 값이든 로컬 권한 상승 기본 요소에 사용될 가능성이 있습니다.

함수 프로토타입 자체에는 PreviousMode 값과 알 수 없는 구조에 대한 포인터가 포함되어 각각 첫 번째 및 세 번째 인수로 사용합니다.

afd!AfdNotifyRemoveIoCompletion 함수 프로토타입으로 만든 스크린샷

그림 5 - afd!AfdNotifyRemoveIoCompletion 함수 프로토타입

리버스 엔지니어링

이제 취약점의 위치는 알았지만 취약한 코드 경로의 실행을 트리거하는 방법은 알지 못합니다. 개념 증명(PoC) 작업을 시작하기 전에 리버스 엔지니어링을 수행해보겠습니다.

먼저 취약한 함수가 어디에서 어떻게 사용되는지 파악하기 위해 상호 참조했습니다.

afd!AfdNotifyRemoveIoCompletion 상호 참조로 구성된 스크린샷

그림 6 - afd!AfdNotifyRemoveIoCompletion 상호 참조

취약한 함수에 대한 단일 호출은 다음에서 이루어집니다. afd!AfdNotifySock .

이 과정을 반복하여 다음과 같은 상호 참조를 찾습니다. AfdNotifySock . 함수에 대한 직접 호출은 찾을 수 없지만 해당 주소는 다음과 같은 이름의 함수 포인터 테이블 위에 나타납니다. AfdIrpCallDispatch .

afd!AfdIrpCallDispatch로 만든 스크린샷

그림 7 — afd!AfdIrpCallDispatch

이 테이블에는 AFD 드라이버의 디스패치 루틴이 포함되어 있습니다. 디스패치 루틴은 DeviceIoControl을 호출하여 Win32 애플리케이션의 요청을 처리하는 데 사용됩니다. 각 기능의 제어 코드는 다음에서 찾을 수 있습니다. AfdIoctlTable .

그러나 위의 포인터는 예상대로 AfdIrpCallDispatch  테이블 내에 있지 않습니다. Steven VittitoeRecon 강연 슬라이드를 통해 AFD에는 실제로 두 개의 디스패치 테이블이 있다는 것을 알게 되었습니다. 두 번째 존재 AfdImmediateCallDispatch . 이 테이블의 시작 부분과 AfdNotifySock 이(가) 저장된 포인터가 가리키는 위치 사이의 거리를 계산하여 AfdIoctlTable 에 대한 인덱스를 계산할 수 있으며 이는 함수의 제어 코드가 다음과 같음을 보여줍니다. 0x12127 .

afd!AfdIoctlTable로 만든 스크린샷

그림 8 - afd!AfdIoctlTable

이 코드가 표의 마지막 입력/아웃풋 제어 (IOCTL) 코드라는 점에 주목할 필요가 있습니다. 이는 AfdNotifySock이 최근에 AFD 드라이버에 추가된 새로운 디스패치 함수일 가능성이 높다는 것을 나타냅니다.

이 시점에서 우리에게는 몇 가지 옵션이 있었습니다. 기본 커널 함수가 어떻게 호출되는지 더 잘 이해하기 위해 사용자 공간에서 해당 Winsock API를 리버스 엔지니어링하거나 커널 코드를 리버스 엔지니어링하고 직접 호출할 수 있습니다. 실제로 어떤 Winsock 함수가 다음에 해당하는지 알지 못했습니다. AfdNotifySock , 그래서 후자를 선택했습니다.

x86matthew가 게시한 코드를 발견했는데, 이 코드는 Winsock 라이브러리를 생략하고 AFD 드라이버를 직접 호출하여 소켓 연산을 수행합니다. 이는 은폐 관점에서는 흥미롭지만, AFD 드라이버에 IOCTL 요청을 하기 위해 TCP 소켓에 대한 핸들을 만드는 것은 좋은 템플릿입니다. 커널 디버깅 중에 WinDbg에 설정된 중단점에 도달하여 목표 함수에 도달할 수 있었습니다.

afd!AfdNotifySock 중단점으로 만든 스크린샷

그림 9 — afd!AfdNotifySock 중단점

이제 다음에 대한 함수 프로토타입을 다시 참조하세요. DeviceIoControl  이를 통해 사용자 공간에서 AFD 드라이버를 호출합니다. 매개변수 중 하나인 lpInBuffer 은(는) 사용자 모드 버퍼입니다. 이전 섹션에서 언급했듯이 이 취약점은 사용자가 알 수 없는 데이터 구조 내의 드라이버에 유효성이 검사되지 않은 포인터를 전달할 수 있기 때문에 발생합니다. 이 구조는 lpInBuffer 매개 변수를 통해 사용자 모드 애플리케이션에서 직접 전달됩니다. 이는 네 번째 매개변수로는 AfdNotifySock  에, 세 번째 매개변수로는 AfdNotifyRemoveIoCompletion  에 전달됩니다.

현재로서는 AFD_NOTIFYSOCK_STRUCT 을(를) 호출하는 lPinBuffer에 데이터를 채우는 방법을 모릅니다. 이는 다음의 취약한 코드 경로에 도달하는 데 필요한 검사를 통과하기 위해서입니다. AfdNotifyRemoveIoCompletion 리버스 엔지니어링 프로세스의 나머지 부분은 실행 흐름을 따라가고 취약한 코드에 도달하는 방법을 조사하는 것으로 구성되었습니다.

이제 각 점검 사항을 살펴보겠습니다.

처음 접하는 첫 번째 점검은 다음의 시작 부분에 있습니다. AfdNotifySock :

afd!AfdNotifySock 크기 확인으로 만든 스크린샷

그림 10 — afd!AfdNotifySock 크기 확인

이 확인은 다음의 크기를 알려줍니다. AFD_NOTIFYSOCK_STRUCT 은(는) 0x30  바이트와 같아야 하며, 그렇지 않으면 함수 다음으로 실패합니다. STATUS_INFO_LENGTH_MISMATCH .

다음 검사에서는 구조의 다양한 필드에 있는 값의 검증합니다.

of afd!AfdNotifySock 구조 유효성 검사

그림 11 — afd!AfdNotifySock 구조 유효성 검사

당시 어떤 필드가 무엇에 해당하는지 몰랐기 때문에 0x30  바이트 배열에서 전달하고, 이는 0x41  바이트로 채워져 있습니다(AAAAAAAAA... ).

다음 확인은 ObReferenceObjectByHandle 호출 이후입니다. 이 함수는 입력 구조의 첫 번째 필드를 첫 번째 인수로 받습니다.

블로그 게시물용으로 만든 스크린샷

그림 12 — afd!AfdNotifySock 호출 nt!ObReferenceObjectByHandle

호출은 올바른 코드 실행 경로로 진행하려면 성공을 반환해야 하며, 이는 유효한 핸들을 IoCompletionObject 에 전달해야 함을 의미합니다. Win32 API를 통해 해당 유형의 객체를 생성할 수 있는 공식 문서화된 방법은 없습니다. 하지만 몇 가지 검색 끝에 문서화되지 않은 NT 함수인 NtCreateIoCompletion을 발견했습니다.

그 후, 카운터가 구조체의 값 중 하나인 루프에 도달합니다.

afd!AfdNotifySock 루프로 만든 스크린샷

그림 13 — afd!AfdNotifySock 루프

이 루프는 구조체에서 필드를 검사하여 필드에 유효한 사용자 모드 포인터가 포함되어 있는지 Verify하고 여기에 데이터를 복사했습니다. 루프가 반복될 때마다 포인터가 증가합니다. 우리는 포인터에 유효한 주소를 채우고 카운터를 1로 설정했습니다. 여기에서 마침내 취약한 함수에 도달할 수 있었습니다. AfdNotifyRemoveIoCompletion .

afd!AfdNotifyRemoveIoCompletion 호출로 구성된 스크린샷

그림 14 - afd!AfdNotifyRemoveIoCompletion 호출

안으로 들어가면 AfdNotifyRemoveIoCompletion , 첫 번째 검사는 구조 내 다른 필드에 있습니다. 0이 아니어야 합니다. 그런 다음 0x20을 곱한 후 구조체의 다른 필드와 함께 포인터 매개변수로 ProbeForWrite  에 전달됩니다. 여기에서 유효한 사용자 모드 포인터(pData2 )를 넣고 dwLen = 1로 설정하여(이렇게 하면ProbeForWrite 에 전달되는 전체 크기가 0x20이 됨), 검사를 통과하도록 구조체를 더 채울 수 있습니다.

afd! Afd!AfdNotifyRemoveIoCompletion 필드 확인으로 만든 스크린샷

그림 15 - afd! Afd!AfdNotifyRemoveIoCompletion 필드 확인

마지막으로, 대상 코드에 도달하기 전에 통과해야 하는 마지막 검사는 IoRemoveCompletion 에 대한 호출이며, 0을 반환해야 합니다(STATUS_SUCCESS ).

이 함수는 다음 중 하나가 될 때까지 차단됩니다.

  • 완료 기록은 IoCompletionObject 매개변수에 대해 사용할 수 있게 됩니다.
  • 함수의 매개변수로 전달되는 시간 초과가 만료됩니다.

구조체를 통해 timeout 값을 제어하지만 단순히 timeout을 0으로 설정하는 것만으로는 함수가 성공을 반환하기에 충분하지 않습니다. 이 함수가 오류 없이 반환하려면 사용 가능한 완료 레코드가 하나 이상 있어야 합니다. 조사 끝에 문서화되지 않은 함수 NtSetIoCompletion을 발견했습니다. 이 함수는 I/O 보류 카운터(pending counter)를 IoCompletionObject 에서 수동으로 증가시킵니다. 앞서 생성한 IoCompletionObject 에서 이 함수를 호출하면 IoRemoveCompletion 호출이 STATUS_SUCCESS 을(를) 반환하도록 보장할 수 있습니다.

블로그 게시물용으로 만든 스크린샷

그림 16 - afd!AfdNotifyRemoveIoCompletion 검사 반환 nt!IoRemoveIoCompletion

임의 쓰기 위치 트리거

이제 취약한 코드에 접근할 수 있으므로 구조의 해당 필드에 쓸 임의의 주소를 채울 수 있습니다. 주소에 기록되는 값은, 해당 주소에 대한 포인터가 IoRemoveIoCompletionIoRemoveIoCompletion  호출에 전달된 정수에서 가져옵니다. 그리고 이는 이 정수의 값을 다음 호출의 반환값으로 설정합니다. KeRemoveQueueEx .

블로그 게시물용으로 만든 스크린샷

그림 17 - nt!KeRemoveQueueEx 반환 값

블로그 게시물용으로 만든 스크린샷

그림 18 - nt!KeRemoveQueueEx 반환 사용

개념 증명에서 이 쓰기 값은 항상 0x1 와(과) 같습니다. KeRemoveQueueEx 의 반환값이 대기열에서 제거된 항목의 개수일 것이라고 추측했지만, 그 이상으로는 조사하지 않았습니다. 이 시점에서 필요한 프리미티브를 확보했고 악용 체인을 완성하는 단계로 넘어갔습니다. 이후 이 추측이 정확했다는 것을 확인했습니다. 그리고 다음에 대해 NtSetIoCompletion 을(를) 추가로 호출하면, 기록되는 값을 임의로 증가시킬 수 있습니다.IoCompletionObject 을(를) 반환하도록 보장할 수 있습니다.

IORING이 포함된 LPE

임의의 커널 주소에 고정된 값(0x1)을 쓸 수 있는 기능을 통해 이를 완전한 임의의 커널 읽기/쓰기로 전환했습니다. 이 취약점이 최신 Windows 11(22H2)에 영향을 미치기 때문에, 우리는 Windows I/O 객체 손상을 활용해 원시 장치를 만들기로 했습니다. Yarden Shafir는 Windows I/O 링에 관한 훌륭한 글을 여러 차례 썼으며, 우리가 악용 체인에서 활용한 원시 요소도 개발하고 공개했습니다. 저희가 아는 한, 이런 원시적인 방법이 공개적으로 악용된 것은 이번이 처음입니다.

사용자가 I/O 링을 초기화하면 사용자 공간과 커널 공간에 각각 하나씩 두 개의 별도 구조가 생성됩니다. 이러한 구조는 다음과 같습니다.

커널 객체는 nt!_IORING_OBJECT 에 매핑되며 아래와 같이 나타납니다.

블로그 게시물용으로 만든 스크린샷

그림 19 — nt!_IORING_OBJECT 초기화

커널 객체에는 두 개의 필드(RegBuffersCount  및 RegBuffers 가 있으며, 이 필드들은 초기화 시 0으로 설정됩니다.  이 카운트는 I/O 링에 대기열에 대기할 수 있는 I/O 작업의 수를 나타냅니다. 다른 매개변수는 현재 대기열에 있는 작업 목록에 대한 포인터입니다.

사용자 공간 측에서, kernelbase!CreateIoRing을 호출하면 성공 시 I/O 링 핸들을 반환합니다. 이 핸들은 문서화되지 않은 구조(HIORING)에 대한 포인터입니다. 이 구조에 대한 정의는 Yarden Shafir의 연구에서 얻은 것입니다.

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

이 블로그 글에서 다룬 것과 같은 취약점이 RegBuffersCount  및 RegBuffers  필드를 수정할 수 있도록 허용한다면, 표준 I/O 링 API를 사용하여 커널 메모리를 읽고 쓰는 것이 가능해집니다.

위에서 살펴본 것처럼, 이 취약점을 이용해 원하는 커널 주소에 0x1을 쓸 수 있습니다. I/O 링 프리미티브를 설정하려면 취약점을 두 번 트리거하기만 하면 됩니다.

첫 번째 트리거에서 RegBufferCount 을(를) 다음으로 설정했습니다.0x1 .

처음으로 버그를 트리거한 nt!_IORING_OBJECT의 스크린샷

그림 20 - 처음으로 버그를 트리거한 nt!_IORING_OBJECT

그리고 두 번째 트리거에서는 RegBuffers를 사용자 공간에 할당할 수 있는 주소(예: 0x0000000100000000)로 설정합니다.

두 번째로 버그를 트리거한 nt!_IORING_OBJECT의 스크린샷

그림 21 - 두 번째로 버그를 트리거한 nt!_IORING_OBJECT

남은 작업은nt!_IOP_MC_BUFFER_ENTRY  구조체들의 포인터를 사용자 공간 주소의 구조(0x100000000 )에 기록하여 I/O 작업을 대기열에 넣는 것뿐입니다. 항목 수는 RegBuffersCount 와(과) 같아야 합니다. 이 프로세스는 아래 다이어그램에 강조 표시되어 있습니다.

블로그 게시물을 위해 만든 다이어그램

그림 22 - I/O 링 커널 R/W 프리미티브에 대한 사용자 공간 설정

그러한 nt!_IOP_MC_BUFFER_ENTRY  중 하나가 스크린샷 아래에 나와 있습니다. 해당 작업의 대상 주소가 커널 주소(0xfffff8052831da20 )임에 주목하세요. 또한 이 경우 작업의 크기는 0x8  바이트입니다. 이 작업이 읽기 작업인지 쓰기 작업인지 구조로는 알 수 없습니다. 작업 방향은 I/O 요청을 대기열에 넣는 데 사용된 API에 따라 달라집니다. kernelbase!BuildIoRingReadFile을 사용하면 임의의 커널 쓰기가 발생하며,  kernelbase!BuildIoRingWriteFile 을(를) 사용하면 임의의 커널 읽기가 발생합니다.

블로그 게시물용으로 만든 스크린샷

그림 23 - 위조된 I/O 링 작동 예시

임의의 쓰기를 수행하려면 파일 핸들에서 데이터를 읽고 해당 데이터를 커널 주소에 쓰는 I/O 작업이 필요합니다.

블로그 게시물을 위해 만든 다이어그램

그림 24 - I/O 링 임의 쓰기

반대로, 임의의 읽기를 수행하려면 커널 주소에서 데이터를 읽고 해당 데이터를 파일 핸들에 쓰는 I/O 작업이 수행됩니다.

I/O 링 임의 읽기로 만든 다이어그램

그림 25 - I/O 링 임의 읽기

데모

원시적인 설정에서 남은 것은 일부 표준 커널 포스트 악용 기술을 사용하여 System(PID 4)과 같은 상승된 프로세스의 토큰을 유출하고 다른 프로세스의 토큰을 덮어쓰는 것뿐입니다.

야생에서의 악용

악용 코드가 공개된 후 360 Icesword Lab의 Xiaoliang Liu(@flame36987044)가 올해 초 야생에서 이 취약점을 악용하는 샘플을 발견했다고 처음으로 공개적으로 밝혔습니다(ITW). ITW 샘플이 사용한 기술은 저희와 달랐습니다. 공격자는 해당하는 Winsock API 함수인 ProcessSocketNotifications 을(를) 사용하여 취약점을 트리거합니다. 저희 악용처럼 afd.sys 드라이버를 직접 호출하지 않습니다.

360 Icesword Lab의 공식 성명은 다음과 같습니다.

"360 IceSword Lab은 APT 탐지 및 방어에 중점을 둡니다. 0day 취약점 레이더 시스템을 기반으로 올해 1월에 야생에서 CVE-2023-21768 악용 샘플을 발견했는데, 이는 시스템 메커니즘과 취약점 기능을 통해 악용된다는 점에서 @chompie1337@FuzzySec에서 발표한 악용과 다릅니다. 악용은 NtSetIoCompletion ProcessSocketNotifications 와(과) 관련되어 있으며, ProcessSocketNotifications 은(는) NtSetIoCompletion 이(가) 호출된 횟수를 가져옵니다. 그래서 저희는 이것을 사용하여 권한 카운트를 변경합니다."

업계 뉴스레터

전문가의 인사이트를 바탕으로 한 최신 기술 뉴스

Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.

감사합니다! 구독이 완료되었습니다.

구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.

결론 및 최종 성찰

리버스 엔지니어링의 일부 부분에서는 분석이 피상적이라는 것을 알 수 있습니다. 관련 없는 토끼굴로 빠지는 것을 피하기 위해 일부 관련 상태 변화만 관찰하고 프로그램의 일부를 블랙박스로 취급하는 것이 도움이 될 때가 있습니다. 이를 통해 완료 속도를 최대화하는 것이 목표가 아니더라도 신속하게 악용 사례를 해결할 수 있었습니다.

또한 저희는 "악용 가능성이 더 높음"으로 표시된afd.sys 의 모든 보고된 취약점에 대해 패치 디핑 검토를 수행했습니다. 검토 결과, 두 개를 제외한 모든 취약점이 사용자 모드에서 전달된 포인터를 부적절하게 검증한 데에서 비롯된 것임이 드러났습니다. 이는 특정 타겟에 대해 과거 취약점에 대한 역사적 지식을 보유하고 있으면 새로운 취약점을 찾는 데 매우 유용할 수 있음을 보여줍니다. 코드베이스가 확장될 때 동일한 실수가 반복될 가능성이 높기 때문입니다. 새로운 C 코드 == 새로운 버그임을 기억하세요😄. 앞서 언급한 취약점이 실제 공격에서 악용되고 있다는 발견이 이를 입증하듯, 공격자들 또한 새로운 코드베이스 추가 사항을 면밀히 모니터링하고 있다고 봐도 무방합니다.

Windows 커널에서 슈퍼바이저 모드 액세스 보호(SMAP)에 대한 지원이 부족하기 때문에 새로운 데이터 전용 악용 프리미티브를구성할 수 있는 충분한 옵션이 있습니다. 이러한 기본 요소는 SMAP을 지원하는 다른 운영 체제에서는 사용할 수 없습니다. 예를 들어 Linux의 I/O 링 사전 등록 버퍼 구현의 취약점인 CVE-2021-41073(Windows에서 R/W 프리미티브에 악용하는 것과 동일한 기능)을 생각해 보세요. 이 취약점은 등록된 버퍼에 대한 커널 포인터를 덮어쓸 수는 있지만, 포인터가 사용자 포인터로 대체되고 커널이 그곳에서 읽거나 쓰려고 하면 시스템이 충돌하기 때문에 임의의 R/W 프리미티브를 구성하는 데 사용할 수 없습니다.

Microsoft가 사랑받는 악용 프리미티브를 제거하기 위해 최선의 노력을 기울이고 있지만, 그 자리를 대신할 새로운 프리미티브가 발견될 수밖에 없습니다. 저희는 HVCI와 같은 가상화 기반 보안 기능의 완화나 제약 없이 최신 버전의 Windows 11 22H2를 활용할 수 있었습니다.

Mixture of Experts | 12월 12일, 에피소드 85

AI 디코딩: 주간 뉴스 요약

세계적인 수준의 엔지니어, 연구원, 제품 리더 등으로 구성된 패널과 함께 불필요한 AI 잡음을 차단하고 실질적인 AI 최신 소식과 인사이트를 확인해 보세요.
Mixture of Experts의 모든 에피소드 보기