벽을 허물고 가정을 깨뜨리다: Windows에서 특권 상승을 위한 기술: 2부

이 문서는 NTFS 대체 데이터 스트림(ADS)이 보안 가정을 우회하고 특권 상승을 달성하는 방법을 자세히 설명합니다. Abdelhamid Naceri가 발견한 이 기술은 디렉터리와 ADS가 비어 있게 간주되는 사실을 악용하여 NTFS 접합을 생성할 수 있게 합니다. 이러한 기술은 ESET 보안 제품의 CVE-2024-0353 및 VIPRE 고급 보안의 CVE-2024-7238 두 가지 취약점을 통해 설명됩니다. 두 취약점 모두 실시간 보호 기능이 탐지된 악성 파일을 삭제하는 것과 관련이 있습니다. exploit은 EICAR 테스트 문자열을 포함하는 ADS를 생성하고 파일 속성 또는 타임스탬프의 변경을 모니터링하는 것으로 시작됩니다. 변경이 감지되면 즉시 삭제가 예정된 신호를 나타내는 것으로, 공격자는 대상 파일을 삭제하려는 NTFS 접합을 생성합니다. exploit은 ESET과 VIPRE이 파일 삭제를 위해 열 때 필요한 예방 조치를 수행하지 않기 때문에 성공합니다. 예를 들어, 파일을 삭제하려는 경우에 대한 재구성 지점을 확인하거나 적절한 인격 변환을 구현하지 않습니다. 이렇게 하면 공격자는 임의의 파일, 심지어는 시스템-임계적인 파일까지 삭제할 수 있게 됩니다. 이러한 취약점은 특권 상승으로 이어질 수 있습니다. 문서는 이러한 기술이 여러 벤더와 제품에서 취약할 수 있음을 강조하고, 이러한 약점을 평가하는 데 있어 무료 체험판을 제공할 것을 요청합니다. 또한 인격 변환의 적절한 구현이 이러한 취약점을 방지하는 데 중요하다고 강조합니다. 문서는 사이버 보안 커뮤니티에 대한 경고와 행동을 요구하는 호출입니다.