윈도 업데이트(Windows Update)가 아닌 윈도 다운데이트(Windows Downdate)를 통해 수정된 버그나 보안 취약점을 복원해 완전히 업데이트된 시스템을 무방비 상태로 만드는 다운그레이드 공격이 보안 연구원에 의해 발표됐다. 마이크로소프트는 이 취약성에 대한 대응을 서두르고 있지만 영향이 광범위해 시간이 걸릴 것으로 보인다.
보안 기업 세이프브리치(SafeBreach) 연구원은 8월 3일부터 개최된 보안 콘퍼런스 블랙햇 2024(Black Hat 2024)에서 윈도 10, 11 및 윈도 서버에 존재하는 2가지 제로데이 취약점으로 인해 완전히 업데이트된 시스템에 옛 보안 취약점을 다시 도입할 수 있음을 발표했다.
이 다운그레이드 공격을 통해 위협 행위자는 최신 디바이스를 이전 버전으로 강제 롤백해 시스템을 쉽게 침해할 수 있는 상태로 만들 수 있다.
다운그레이드 공격이 발견된 계기는 2023년에 발견된 블랙로터스(BlackLotus) UEFI 부트킷이다. 이 멀웨어는 윈도 부트 매니저를 다운그레이드해 보안 부팅(Secure Boot)을 우회하는 기능을 갖고 있었다.
마이크로소프트는 이미 블랙로터스 UEFI 부트킷에 대응했지만 연구원은 다운그레이드 공격 목표가 보안 부팅에만 국한되는지 의문을 품고 윈도 업데이트를 조사한 결과 업데이트 프로세스를 악용해 동적 링크 라이브러리(DLL)나 NT 커널과 같은 중요한 OS 컴포넌트를 다운그레이드할 수 있음을 밝혀냈다.
게다가 다운그레이드 공격을 수행하면 중요한 컴포넌트가 모두 이전 버전으로 롤백됐음에도 불구하고 업데이트 검사에서는 완전히 업데이트된 것으로 간주되어 복구 도구나 스캔 도구로 문제를 감지할 수 없다.
이 발견에 대해 연구원은 자신은 완전히 패치된 윈도 머신을 과거 수많은 취약점에 대해 무방비 상태로 만들 수 있었고 수정된 취약점을 제로데이로 변경해 전 세계 모든 윈도 머신에서 완전히 패치됐다는 용어를 무의미하게 만들었다고 말했다.
연구원에 따르면 가상화 기반 보안(VBS) UEFI 잠금을 물리적 접근 없이 우회할 수 있었던 건 이번이 처음이라고 한다. 또 이 문제는 마이크로소프트 뿐 아니라 다운그레이드 공격을 받을 가능성이 있는 모든 OS 벤더에게도 큰 영향을 미친다고 지적했다.
연구원은 책임 있는 정보 공개 프로세스 일환으로 지난 2월 이 문제를 마이크로소프트에 보고하고 이번 블랙햇 2024에서 발표하기까지 6개월 유예 기간을 뒀다.
다운그레이드 공격 공개와 동시에 마이크로소프트는 이 결함을 윈도 업데이트 스택 권한 상승 취약점(CVE-2024-38202)과 윈도 보안 커널 모드 권한 상승 취약점(CVE-2024-21302)으로 인정하고 공개했다.
마이크로소프트에 따르면 지금까지 이 취약점을 악용하려는 시도는 확인되지 않았다고 한다. 하지만 마이크로소프트는 오래된 VBS 시스템 파일을 비활성화하는 업데이트를 진행 중이며 이게 완료될 때까지 윈도는 다운그레이드 공격에 취약할 수 있다.
마이크로소프트는 해당 취약점을 식별하고 협조적으로 공개하여 책임감 있게 보고해준 세이프브리치 활동에 감사를 표하고 철저한 조사, 영향을 받는 모든 버전 업데이트 개발, 호환성 테스트를 포함한 포괄적인 프로세스를 통해 이 위험으로부터 보호하기 위한 완화책을 적극적으로 개발하고 있다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.