Windows 10의 패치되지 않은 NTFS 제로데이, 파일 보기만으로 하드 드라이브 손상

정보 보안 분석가 Jonas L 는 NTFS 포맷에 의존하는 하드 드라이브(HD)를 손상시킬 수 있는 Windows 10의 심각한 버그를 발견했습니다. 제로 데이 취약점은 연구자가 2020년 가을부터 주목했음에도 불구하고 수정되지 않은 상태로 남아 있습니다. to it since autumn 2020.

NTFS 취약점 분석

NTFS 제로 데이 취약점은 Windows 10 빌드 1803, 2018년 4월 Windows 10 업데이트에 존재하며, 최신 OS 버전에서도 적용됩니다. 이 결함은 시스템에 대한 관리자 권한이 없는 사용자에 의해 악용될 수 있으므로 이 버그는 치명적입니다.

연구자들의 NTFS 취약점 설명에 따르면, 제로 데이는 한 줄의 명령어로 유발될 수 있습니다. 게다가, 파일을 열거나 특별히 포맷된 아이콘을 보는 것만으로도 HD 손상을 일으킬 수 있습니다. 특히, 버그는 “$i30” Windows NTFS 인덱스 속성과 관련이 있습니다. 사용자가 “$i30” NTFS 속성을 사용하여 명령어를 실행하면 시스템은 즉시 하드 드라이브를 손상시키고 손상된 저장 장치를 복구하는 데 필요한 재시작을 요청합니다. 그러나 자주 손상된 파일은 복구가 어렵고 디스크의 마스터 파일 테이블(MFT)도 손상된 상태로 남아있습니다.

NTFS 제로 데이 악용

취약점은 여러 가지 악용 방법을 상정합니다. 예를 들어, 위협 행위자는 Windows 단축키, ZIP 아카이브 또는 정품 파일의 큰 묶음 등을 통해 악성 NTFS 인덱스 속성 명령을 전달할 수 있습니다. 사용자 디렉토리 내에서 파일을 두 번 클릭하지 않고도 취약점은 악용될 수 있습니다. 따라서 공격 루틴에서 가장 복잡한 작업은 Windows 단축 아이콘 파일을 시스템에 전달하는 것입니다. 위협 행위자는 사용자가 ZIP 아카이브를 추출하거나 파일을 로드하도록 유도하는 설득력 있는 미끼만 만들면 됩니다.

NTFS 취약점 탐지 및 완화

SOC Prime의 위협 사냥 엔지니어 팀은 이 NTFS 제로 데이에 대한 개념 증명(PoC) 익스플로잇을 개발하고, 적극적인 탐지를 위한 Sigma 규칙을 발표했습니다. 공식 패치가 나올 때까지 안전하게 기다리면서, 우리의 위협 탐지 마켓플레이스에서 콘텐츠 항목을 다운로드할 수 있습니다: 

https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/

이 심각한 NTFS 취약점의 탐지를 강화하기 위해 2021년 1월 22일에 우리 위협 바운티 개발자 Furkan Celik이 발표한 새로운 SOC 콘텐츠를 확인하세요: 

https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/

규칙은 다음 플랫폼에 번역됩니다: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK: 

전술: 영향

기술: 데이터 파괴 (T1485)

공식 패치, 공급자의 가능한 완화 조치 및 당사 팀의 추가 탐지 규칙과 관련된 정보를 지속적으로 이 블로그 게시물에 업데이트할 것입니다. 

무료 구독 받기 위협 탐지 마켓플레이스에 방문하여 적극적인 공격 탐지를 위한 보다 엄선된 SOC 콘텐츠를 확인하세요. 자체 Sigma 규칙을 작성할 준비가 된 경우, 위협 바운티 프로그램에 참여하여 우리의 위협 사냥 이니셔티브를 강화하세요.