VU#158530: PCTCore64.sys Windows 커널 드라이버에 접근 통제 누락 취약점 존재
PC Tools Internet Security의 PCTCore64.sys Windows 커널 드라이버에는 심각한 보안 취약점이 있습니다. 이 드라이버는 적절한 접근 통제 조치 없이 \.\PCTCoreDriver라는 장치 인터페이스를 노출합니다. 결과적으로 사용자 모드 프로세스는 이 드라이버와 상호 작용하고 권한 있는 IOCTL 명령을 실행할 수 있습니다.Bring Your Own Vulnerable Driver (BYOVD) 시나리오에서 Windows 드라이버를 로드할 수 있는 공격자는 이 결함을 악용할 수 있습니다. 공격자는 드라이버의 노출된 인터페이스를 호출하여 대상 시스템에서 민감한 저수준 작업을 수행할 수 있습니다. 드라이버는 보안 디스크립터 적용이 부족하여 권한 없는 프로세스가 장치 핸들을 열고 권한 있는 IOCTL 요청을 보낼 수 있습니다.이를 통해 공격자는 시스템 전체 핸들을 열거하고 프로세스 간 핸들을 조작하는 등의 작업을 수행할 수 있습니다. 중요한 것은 lsass.exe와 같은 민감한 프로세스에서 자격 증명을 추출할 수 있다는 것입니다. 보호된 프로세스를 포함한 임의의 프로세스 종료도 가능합니다.PC Tools Internet Security는 2013년에 단종되었지만, 이 드라이버는 여전히 서명되어 있으며 BYOVD 공격에서 악용될 수 있습니다. 이 취약점은 자격 증명 도용, 보안 소프트웨어 비활성화 및 광범위한 시스템 침해를 용이하게 합니다. 영향으로는 자격 증명 도용, 서비스 거부 및 시스템 침해가 있습니다.해결책은 더 이상 유지 관리되지 않는 취약한 드라이버를 제거하고 차단하는 것입니다. 조직은 또한 관리자 권한 제한 및 HVCI 및 WDAC와 같은 Windows 보안 기능 활성화와 같은 BYOVD 공격에 대한 완화 조치를 구현해야 합니다.