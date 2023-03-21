리버스 엔지니어링의 일부 부분에서는 분석이 피상적이라는 것을 알 수 있습니다. 관련 없는 토끼굴로 빠지는 것을 피하기 위해 일부 관련 상태 변화만 관찰하고 프로그램의 일부를 블랙박스로 취급하는 것이 도움이 될 때가 있습니다. 이를 통해 완료 속도를 최대화하는 것이 목표가 아니더라도 신속하게 악용 사례를 해결할 수 있었습니다.

또한 저희는 "악용 가능성이 더 높음"으로 표시된 afd.sys 의 모든 보고된 취약점에 대해 패치 디핑 검토를 수행했습니다. 검토 결과, 두 개를 제외한 모든 취약점이 사용자 모드에서 전달된 포인터를 부적절하게 검증한 데에서 비롯된 것임이 드러났습니다. 이는 특정 타겟에 대해 과거 취약점에 대한 역사적 지식을 보유하고 있으면 새로운 취약점을 찾는 데 매우 유용할 수 있음을 보여줍니다. 코드베이스가 확장될 때 동일한 실수가 반복될 가능성이 높기 때문입니다. 새로운 C 코드 == 새로운 버그임을 기억하세요😄. 앞서 언급한 취약점이 실제 공격에서 악용되고 있다는 발견이 이를 입증하듯, 공격자들 또한 새로운 코드베이스 추가 사항을 면밀히 모니터링하고 있다고 봐도 무방합니다.

Windows 커널에서 슈퍼바이저 모드 액세스 보호(SMAP)에 대한 지원이 부족하기 때문에 새로운 데이터 전용 악용 프리미티브를구성할 수 있는 충분한 옵션이 있습니다. 이러한 기본 요소는 SMAP을 지원하는 다른 운영 체제에서는 사용할 수 없습니다. 예를 들어 Linux의 I/O 링 사전 등록 버퍼 구현의 취약점인 CVE-2021-41073(Windows에서 R/W 프리미티브에 악용하는 것과 동일한 기능)을 생각해 보세요. 이 취약점은 등록된 버퍼에 대한 커널 포인터를 덮어쓸 수는 있지만, 포인터가 사용자 포인터로 대체되고 커널이 그곳에서 읽거나 쓰려고 하면 시스템이 충돌하기 때문에 임의의 R/W 프리미티브를 구성하는 데 사용할 수 없습니다.

Microsoft가 사랑받는 악용 프리미티브를 제거하기 위해 최선의 노력을 기울이고 있지만, 그 자리를 대신할 새로운 프리미티브가 발견될 수밖에 없습니다. 저희는 HVCI와 같은 가상화 기반 보안 기능의 완화나 제약 없이 최신 버전의 Windows 11 22H2를 활용할 수 있었습니다.