공격 방어 전문 보안 회사인 사이버아크가 인텔 프로세서의 기능을 이용해 "패치 가드" 커널 보호를 우회하여 빠지기를 할 수 있다는 걸 발견했습니다.
또한 이 공격에 노출된 컴퓨터에는 악성 소프트웨어를 지속적으로 만들 수 있다고 합니다
고스트훅 (GhostHook)
사이버아크는 마이크로소프트의 패치가드 커널 보호를 우회해서 위협적인 용도로 쓰일 수 있는 이 우회를 "고스트훅"이라 이름 지었습니다. 사이버아크는 이 기술로 공격자가 기기에서 실행되는 어떠한 코드라도 우회를 할 수 있다고 합니다.
인텔 프로세서 추적 기능이 문제가 되어
이 문제는 인텔 프로세서 추적 기능에 의해 문제가 되었습니다. 인텔 프로세서 추적 기능은 하드웨어에 소프트웨어의 실행에 대한 정보를 가져오는 것으로, 이 정도는 자료 다발로 저장되고 소프트웨어 해독기로 처리될 수 있다고 합니다.
모아지는 정보는 시간 조절, 프로그램 진행 정보 (분기점, 분기 선택됨 / 선택되지 않음 정보)와 유도된 프로그램 형태(program-induced mode) 관련된 정보 (예컨대 인텔 TSX 상태 변천)입니다. 자료 다발은 메모리 하위 체계나 다른 방식으로 쓰이기 전에 내부에 캐시되어 있습니다. 그 뒤 오류 수정 소프트웨어가 이 자료를 처리한 뒤 프로그램 진행을 재구성합니다.
인텔 프로세서 추적 기능은 브로드웰 세대에서 생겨서 하늘호수 세대에서 확장되었습니다. 이 기능은 소프트웨어 방어 확장 명령어로 보호된 경우가 아니면 CPU에 실행되는 어떤 소프트웨어라도 추적할 수 있게 됩니다. 본래 이 기술은 성능 관찰, 소프트웨어 진단, 오류 수정, 정화, 악성 소프트웨어 진단 및 탐지를 위한 것입니다.
문제는 공격자가 이 기술을 악용해서 쓰레드의 소프트웨어 실행을 제어할 수 있다는 것입니다. 공격자가 CPU가 악성 소프트웨어를 실행하도록 분기시킬 수 있다고 합니다. 이 방법 중 하나는 인텔 프로세서 추적 기능의 다발에 매우 작은 캐시를 할당시켜 CPU의 캐시 영역이 꽉 차게 되면 악성 소프트웨어로 점프해서 "훅"을 생성하게 된다는 것입니다.
...
원문에서는 윈도우 10 사용시 문제라고 하지만 '패치 가드'는 윈도우 XP부터 이어졌으며 리눅스에서도 문제가 생기므로 하드웨어 문제라고 합니다
글쓰기