Kingsoft Antivirus 및 360은 운영 체제를 완전히 제어할 수 있는 고위험 커널 드라이버 취약점에 노출되었습니다.

최근 한 보안 연구원이 트위터에 글을 올렸습니다.

보고서에 따르면 공격자는 이러한 취약점을 이용하여 일반 사용자 권한에서 가장 높은 SYSTEM 권한으로 권한을 승격하고, KASLR(Kernel Address Space Layout Randomization) 보호를 우회하고, 커널 자격 증명을 훔치고, 커널 콜백 테이블을 수정하여 악의적인 동작을 숨길 수도 있습니다.

관련 드라이버에는 모두 공식 EV 또는 WHQL 서명이 있으므로 공격자는 대상 장치에 추가 소프트웨어를 설치하지 않고도 악성 페이로드를 직접 로드할 수 있으며 공격 임계값이 매우 낮습니다.

그중 Kingsoft Antivirus의 kdhacker64_ev.sys 드라이버에는 명백한 버퍼 할당 결함이 있습니다.

드라이버가 사용자 입력을 처리할 때 할당된 버퍼 크기는 실제 필요한 크기의 절반에 불과하므로 1160바이트의 데이터가 584바이트의 공간에만 기록되어 512바이트 커널 풀 오버플로가 직접 발생합니다.

드라이버가 유효한 EV 서명을 보유하고 있다는 점은 주목할 가치가 있습니다. 이는 공격자가 이 취약점을 이용하여 쉽게 시스템 보안 검사를 우회하고 장치를 완전히 제어할 수 있다는 것을 의미합니다.

360 Security Guard의 취약점은 DsArk64.sys 드라이버에 반영됩니다.

이 드라이버는 4바이트 프로세스 ID가 IOCTL 인터페이스를 통해 전달되도록 허용하고 링 0 레벨에서 ZwTerminateProcess 함수를 직접 호출합니다. 이는 모든 프로세스를 강제로 종료하고 PPL(Protected Process) 메커니즘을 우회하여 시스템의 핵심 프로세스에 위협을 가할 수도 있습니다.

뿐만 아니라 드라이버의 커널 읽기 및 쓰기 기능은 AES-128-CBC 암호화 알고리즘을 사용하지만 암호 해독 키는 바이너리 파일의 .data 섹션에 하드 코딩되어 있으며 모든 버전이 동일한 키를 사용하므로 공격자가 크랙하기가 크게 줄어듭니다.

현재 이 두 가지 고위험 취약점이 LOLDrivers 데이터베이스에 제출되었습니다.