최근 Windows 작업 스케줄러의 제로데이 취약점 CVE-2018-8440은 공격자가 대상 컴퓨터에서 권한 상승을 수행할 수 있도록 합니다. Microsoft는 이 문제를 해결하기 위해 2018년 8440월 11일 보안 권고 CVE-2018-XNUMX을 발표했습니다. Microsoft에 따르면, 이 취약점을 성공적으로 악용할 경우 로컬 시스템의 보안 컨텍스트에서 임의 코드가 실행될 수 있습니다.
취약점에 관하여
CVE-2018-8440은 Windows 작업 스케줄러의 고급 로컬 프로시저 호출(ALPC) 인터페이스에 존재하는 로컬 권한 상승 취약점입니다. Windows 작업 스케줄러의 ALPC 엔드포인트는 SchRpcSetSecurity 함수를 내보내는데, 이를 통해 권한을 확인하지 않고 임의의 DACL(데이터 무결성 수준 제한)을 설정할 수 있습니다. 이 취약점을 악용하면 권한이 없는 로컬 사용자가 시스템의 모든 파일의 권한을 변경할 수 있습니다.
이 익스플로잇 코드는 27년 2018월 XNUMX일 "SandboxEscaper"라는 닉네임을 사용하는 보안 연구원에 의해 트위터를 통해 공개되었습니다. 며칠 만에 PowerPool 악성코드가 이 익스플로잇을 악용하여 사용자를 감염시키는 것으로 밝혀졌습니다.
취약한 버전
- 윈도우 7
- 윈도우 8.1
- 윈도우 10
- Windows Server 2008, 2012 및 2016
빠른 치유 감지
Quick Heal은 CVE-2018-8440 취약점에 대한 다음 탐지 기능을 출시했습니다.
- Trojan.Win64
- Trojan.IGeneric
Quick Heal Security Labs에서는 이 취약점을 악용한 새로운 실제 악용 사례를 적극적으로 찾고 이를 보장하고 있습니다.
참고자료
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8440
주제별 전문가
사미르 파틸 | 퀵힐 보안 랩스
