2024-03-30 00:55 (토)
레노보 노트북 취약점으로 수백만 노트북 사용자 멀웨어 설치될 위험
상태바
레노보 노트북 취약점으로 수백만 노트북 사용자 멀웨어 설치될 위험
  • 길민권 기자
  • 승인 2022.04.26 11:39
이 기사를 공유합니다

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아는 Lenovo 노트북 모델에 영향을 미치는 세 가지 취약점을 발견했음을 밝혔다.

이러한 취약점을 악용하면 공격자가 LoJax 및 ESPecter와 같은 UEFI 맬웨어를 배포하고 성공적으로 실행할 수 있다. UEFI 위협은 극도로 은밀하고 위험할 수 있다.

발견된 취약점은 CVE-2021-3970, CVE-2021-3971, CVE-2021-3972다.

이셋 리서치는 레노보 노트북의 모든 소유자가 영향을 받는 기기 목록을 살펴보고 펌웨어를 업데이트할 것을 강력히 권장한다고 밝혔다. 

이셋 연구진은 다양한 레노보 노트북 모델에 영향을 미치는 세 가지 취약점을 발견하고 분석했다. 이러한 취약점을 악용하면 공격자가 LoJax와 같은 SPI 플래시 임플란트 또는 이셋이 최근 발견한 ESPecter 와 같은 ESP 임플란트 형태로 UEFI 악성코드를 배포하고 실행할 수 있다. 

이셋은 2021년 10월에 발견된 모든 취약점을 레노보에 보고했다. 영향을 받는 기기 목록에는 전 세계적으로 수백만 명의 사용자가 있는 100개 이상의 다양한 노트북 모델이 포함되어 있다.

이 취약성을 발견한 이셋 연구원은, “UEFI 위협은 극도로 은밀하고 위험할 수 있습니다. 이들은 운영 체제로 제어권을 넘기기 이전 부팅 프로세스 초기에 실행됩니다. 이는 운영 체제의 페이로드 실행을 막을 수 있는 스택의 거의 모든 보안 조치와 완화를 우회할 수 있다는 것을 의미한다."라고 말했다. 

또 그는 "이러한 UEFI "보안" 백도어의 발견은 경우에 따라 UEFI 위협의 배포가 예상만큼 어렵지 않을 수 있으며 지난 몇 년 동안 발견된 실제 UEFI 위협이 더 많을수록 공격자들이 이를 인지하고 있음을 시사한다”고 덧붙였다.

이러한 취약점 중 처음 두 가지(CVE-2021-3970, CVE-2021-3971)는 UEFI 펌웨어에 내장된 "보안" 백도어라고 하는 것이 더 정확하다고 할 수 있는데, 이는 문자 그대로 Lenovo UEFI 드라이버 중 하나를 구현하는 이름(CVE-2021-3971: SecureBackDoor 및 SecureBackDoorPeim)이기 때문이다. 이러한 내장 백도어를 활성화하면 운영 체제 런타임 동안 권한 있는 사용자 모드 프로세스에서 SPI 플래시 보호(BIOS 제어 레지스터 비트 및 보호 범위 레지스터) 또는 UEFI 보안 부팅 기능을 비활성화할 수 있다.

또한 "보안" 백도어의 바이너리를 조사하던 중 세 번째 취약점인 SW SMI 핸들러 기능 내부의 SMM 메모리 손상(CVE-2021-3972)을 발견했다. 이 취약점은 SMRAM에서 임의의 읽기/쓰기를 허용하여 SMM 권한으로 악성 코드를 실행하고 잠재적으로 SPI 플래시 임플란트의 배포로 이어질 수 있다.

UEFI 부팅 및 런타임 서비스는 프로토콜 설치, 기존 프로토콜 찾기, 메모리 할당, UEFI 변수 조작 등과 같이 드라이버 및 애플리케이션이 작업을 수행하는 데 필요한 기본 기능과 데이터 구조를 제공한다. UEFI 부팅 드라이버 및 애플리케이션은 프로토콜을 광범위하게 사용합니다. UEFI 변수는 UEFI 모듈에서 부팅 구성을 비롯한 다양한 구성 데이터를 저장하는 데 사용하는 특수 펌웨어 저장 메커니즘이다.

반면에 SMM은 x86 프로세서의 높은 권한 실행 모드다. 해당 코드는 시스템 펌웨어 컨텍스트 내에서 작성되며 일반적으로 고급 전원 관리, OEM 독점 코드 실행 및 보안 펌웨어 업데이트를 포함한 다양한 작업에 사용된다.

연구원은 "지난 몇 년 동안 발견된 모든 실제 UEFI 위협(LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy)은 배포 및 실행을 위해 보안 메커니즘을 우회하거나 비활성화해야 했다."라고 설명한다. 이셋 연구진은 레노보 노트북의 모든 소유자가 영향을 받는 기기 목록을 검토하고 제조사의 지침에 따라 펌웨어를 업데이트할 것을 강력히 권고했다.

UEFI SecureBootBackdoor(CVE-2021-3970)의 영향을 받는 개발 지원 종료(End Of Development Support) 기기를 사용하는 경우 수정 사항이 없이 UEFI 보안 부팅 상태를 원치 않는 변경으로부터 보호하는 한 가지 방법은 TPM 기반 풀디스크 암호화 솔루션을 사용하는 것이다. 이는 UEFI 보안 부팅 구성이 변경되면 디스크 데이터에 액세스할 수 없도록 해준다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★