서론
Windows 클라우드 파일 동기화 기능을 지원하는 커널 드라이버 cldflt.sys(Cloud Files Mini Filter Driver)에서 로컬 권한 상승 취약점 CVE-2020-17103이 재확인되었다. 2020년 12월에 패치된 것으로 알려졌으나, 최신 PoC(Proof of Concept)가 최신 Windows 11 버전에서도 SYSTEM 권한 상승을 성공적으로 재현했다. 이 드라이버는 OneDrive 등의 클라우드 백업 기능을 지원하므로 Windows에 기본 포함되어 있어, 모든 Windows 데스크톱과 서버가 영향을 받는다.
본문
기술적 분석
CVE-2020-17103은 cldflt.sys 드라이버 내의 HsmOsBlockPlaceholderAccess 루틴과 관련된 권한 관리 결함이다. 취약점은 사용자 모드 API인 CfAbortHydration과 함께 악용될 수 있다. 공격자는 적절한 접근 검사 없이 .DEFAULT 레지스트리 하이브 하위에 레지스트리 키를 생성할 수 있는 경로를 이용한다.
공격 단계는 다음과 같다. 공격자는 스레드 토큰을 교환하는 레이스 컨디션을 유발하여, .DEFAULT 하이브가 SYSTEM 권한의 컨텍스트로 열리는 순간을 포착한다. 이후 공격자는 시스템 설정을 참조하는 .DEFAULT 하이브 내의 사용자 하이브에 악의적인 레지스트리 심볼릭 링크를 생성한다.
구체적으로, 공격자는 .DEFAULT\Volatile Environment의 windir 값을 공격자가 제어하는 경로로 변경한다. Windows 오류 보고(WER)의 예약 작업인 QueueReporting은 이 값을 참조하여 wermgr.exe를 실행한다. 원래는 System32 경로에서 실행되어야 하나, 위조된 windir 값으로 인해 시스템은 공격자가 지정한 경로의 wermgr.exe를 SYSTEM 권한으로 실행하게 된다. 이를 통해 공격자는 임의의 코드를 SYSTEM 권한으로 실행할 수 있다.
PoC는 레이스 컨디션을 유도하여 SYSTEM 셸을 획득하는 과정을 포함하며, 이는 취약점이 실제로 악용 가능함을 보여준다.
영향 및 공격 조건
이 취약점은 로컬 권한 상승(LPE) 유형이다. 원격 공격이 가능하지는 않으나, 공격자가 이미 대상 시스템의 일반 사용자 계정이나 서비스 계정으로 접근 가능한 경우 침해 후 권한 상승 단계에서 직접 사용할 수 있다. 악의적인 실행 파일 유입 단계와 결합될 경우, 공격자는 궁극적으로 시스템 전체를 장악할 수 있다.
취약한 환경은 다음과 같다. Windows 10 및 Windows 11을 포함하여 최신 누적 업데이트(26H1 포함)가 적용된 시스템에서도 취약점이 재현되었다고 보고되었다. cldflt.sys는 Windows에 기본 포함되므로, 별도 설정 없이도 대다수의 Windows 시스템이 잠재적 영향 범위에 포함된다.
공격 성공률과 재현성에 대해서는 연구자들 간에 견해차가 있다. 일부는 레이스 컨디션의 특성상 신뢰성이 낮을 수 있다고 보지만, 재현이 가능하다는 점에서 그 위험성은 충분히 높다. 이미 컴파일된 PoC와 소스 코드가 공개되어 있어 공격 장벽이 낮아졌다.
대응 전략
현재까지 Microsoft에서 이 취약점에 대한 새로운 보안 업데이트를 발표하지 않았다. 따라서 현재로서는 완전한 패치 적용이 불가능하며, 운영자는 완화 조치에 의존해야 한다.
즉시 조치는 다음과 같다. 익명 출처의 실행 파일 유입을 차단하는 것이 핵심이다. 신뢰할 수 없는 이메일 첨부파일이나 웹사이트에서의 다운로드를 금지하고, 일반 사용자 계정에서의 관리자 도구 사용을 제한해야 한다. 공격자가 로컬 권한 상승을 시도하려면 시스템 내부에 악성 코드를 배포해야 하므로, 초기 유입 차단이 중요하다.
단기 조치는 기술적 통제를 강화하는 것이다. 애플리케이션 프로그램 허용 목록(approved application allowlisting)을 적용하여 서명되지 않은 실행 파일의 실행을 차단해야 한다. 또한, EDR(엔드포인트 탐지 및 대응) 솔루션을 통해 권한 상승 시도를 탐지하고 차단해야 한다. 특히 표준 사용자 세션에서 SYSTEM 권한으로 실행되는 wermgr.exe 프로세스의 실행 위치를 모니터링해야 한다.
탐지 포인트는 명확하다. \Registry\User\.DEFAULT\Volatile Environment\windir 레지스트리 값의 생성 또는 변경 이벤트를 탐지해야 한다. 이 값은 시스템에 의해 자주 수정되지 않으므로 이러한 이벤트의 발생 자체가 의심스러운 신호이다. 추가로, \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps 위치에 대한 쓰기 시도도 모니터링해야 한다. EDR 규칙은 이러한 레지스트리 조작 시도를 차단하도록 구성되어야 한다.
관리자 체크리스트는 다음과 같다. 먼저, 모든 Windows 시스템에서 EDR 솔루션이 활성화되어 있고 최신 상태인지 확인해야 한다. 다음으로, EDR의 로그를 검색하여 최근 30일 이내 의심스러운 wermgr.exe 실행이나 레지스트리 수정 시도가 있었는지 조사해야 한다. 또한, 사용자 계정의 권한을 최소화하여 일반 작업에 불필요한 관리자 권한을 부여하지 않는지 검토해야 한다. 마지막으로, Microsoft 보안 업데이트 채널을 주시하여 새로운 패치나 CVE 보고서가 발표되면 즉시 적용할 수 있도록 준비해야 한다.
결론
CVE-2020-17103은 패치가 무력화된 채 최신 Windows 환경에서도 작동하는 취약점이다. 이는 로컬 권한 상승으로 이어지는 침해 후단계 공격의 위험성을 높인다. 현재 새로운 패치가 나오지 않았으므로, 초기 유입 차단, 실행 파일 허용 목록, EDR 탐지 규칙 적용과 같은 다층적 방어 전략이 필수적이다. 운영자는 위협 정보를 주시하고 시스템을 정기적으로 점검하여 공격 징후를 조기에 파악해야 한다.
참고자료
-
NVD - CVE-2020-17103
https://nvd.nist.gov/vuln/detail/CVE-2020-17103 -
SK시큐리티 인사이트 - MiniPlasma: 6년 만에 되살아난 SYSTEM 권한 상승 (CVE-2020-17103)
https://www.skshieldus.com/security-insights/trends/eqst-miniplasma-privilege-escalation-cve-2020-17103 -
BleepingComputer - New Windows "MiniPlasma" zero-day exploit gives SYSTEM access, PoC released
https://www.bleepingcomputer.com/news/security/new-windows-miniplasma-zero-day-exploit-gives-system-access-poc-released/ -
SecurityAffairs - Chaotic Eclipse discloses MiniPlasma zero-day
https://securityaffairs.com/165580/hacking/miniplasma-zero-day.html -
ThreatLocker - MiniPlasma: Windows privilege escalation zero-day affects fully patched systems
https://threatlocker.com/blog/miniplasma-windows-privilege-escalation-zero-day-affects-fully-patched-systems -
GitHub - Nightmare-Eclipse/MiniPlasma
https://github.com/Nightmare-Eclipse/MiniPlasma -
GitHub - arch1m3d/MiniPlasma-Detection
https://github.com/arch1m3d/MiniPlasma-Detection
본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!