Windows Defender, 해킹에 악용되는 제로데이 취약점 발견!

BlueHammer는 Windows Defender, Volume Shadow Copy Service, Cloud Files API, opportunistic locks, Defender의 RPC 인터페이스 등 5가지 구성 요소(Components)를 엮어 공격을 수행한다. 특히, Defender의 시그니처 업데이트(Signature Update)가 진행 중일 때, 임시 볼륨 섀도 복사본(Volume Shadow Copy)을 생성하는 과정에서 취약점이 발생한다. 공격자는 Cloud Files sync provider로 위장하여 특정 파일에 대한 opportunistic lock을 획득하고, Defender를 멈춘 후 SAM 데이터베이스(SAM Database)를 탈취한다.

BlueHammer는 로컬 계정 권한을 NT AUTHORITY\SYSTEM으로 상승시켜 시스템 전체를 장악할 수 있는 심각한 취약점이다. 공격 성공 시, 공격자는 관리자 권한을 획득하여 시스템 내 모든 자원에 접근 가능하며, 추가적인 악성 행위를 수행할 수 있다. 특히, 패치가 발표되지 않은 상황에서 공개된 익스플로잇 코드(Exploit Code)는 랜섬웨어(Ransomware) 그룹이나 APT(Advanced Persistent Threat) 공격자들에게 악용될 가능성이 매우 높다.

현재까지 공식 패치가 없으므로, 예방적 조치(Preventive Measures)가 중요하다. 구체적으로, 일반 사용자 프로세스에서 VSS(Volume Shadow Copy) 열거를 감시하고, Cloud Files sync root 등록을 확인해야 한다. 또한, 권한이 낮은 프로세스에서 Windows 서비스 생성 및 SYSTEM 레벨 토큰 획득 시 알림을 설정해야 한다. 마지막으로, 관리자 계정의 빠른 비밀번호 변경(Password Change)을 감시하여 의심스러운 활동을 탐지해야 한다.

BlueHammer 공개 배경에는 Microsoft의 취약점 공개 프로세스(Vulnerability Disclosure Process)에 대한 불만이 자리 잡고 있다. 연구자는 Microsoft와의 합의가 제대로 이행되지 않았다고 주장하며, MSRC(Microsoft Security Response Center)의 비디오 제출 요구(Video Submission Requirement)가 문제 해결을 지연시켰다고 비판했다. 이러한 상황은 보안 연구자와 기업 간의 소통 부재가 심각한 보안 위협으로 이어질 수 있음을 보여준다.

BlueHammer는 Defender의 시그니처 업데이트가 진행 중일 때만 작동하므로, 100% 신뢰할 수 있는 공격(Reliable Attack)은 아니다. 하지만, 공격 성공 시 심각한 피해를 야기할 수 있으므로, 무시해서는 안 된다. 또한, BlueHammer는 Windows의 정상적인 구성 요소들을 활용하기 때문에, 기존의 침입 탐지 시스템(Intrusion Detection System)으로는 탐지가 어려울 수 있다. 따라서, 시스템 관리자는 BlueHammer의 작동 원리를 정확히 이해하고, 맞춤형 탐지 규칙(Custom Detection Rules)을 구축해야 한다.