피드로 돌아가기
The RegisterSecurity
원문 읽기
WinRE 파티션 파일 조작을 통한 BitLocker 볼륨 우회 취약점 발견
Microsoft's worst 'Nightmare' unleashes BitLocker bypass 0-day
AI 요약
Context
Microsoft Defender Offline 스캔 프로세스와 WinRE(Windows Recovery Environment) 간의 상호작용 구조 내 보안 허점 존재. BitLocker로 암호화된 볼륨의 무결성을 유지해야 하는 복구 환경의 권한 관리 미흡으로 인한 취약점 발생.
Technical Solution
- WinRE 복구 파티션 루트 경로에 unattend.xml 및 Recovery 디렉터리를 강제로 복제하여 설정 값 변조
- Shift-Restart를 통한 WinRE 진입 시 조작된 구성 파일을 로드하여 시스템 부팅 흐름 제어
- Defender Offline 스캔 상태의 WinRE 부팅을 유도하여 BitLocker 볼륨에 대한 제한 없는 쉘(Shell) 권한 획득
- 복구 환경의 자동화 설정 파일(XML) 처리 로직을 악용하여 Command Prompt를 강제 실행하는 경로 설계
- 단, 실제 공격 성립을 위해서는 관리자 권한을 통한 사전 파일 조작 및 Defender Offline 스캔 실행 이력이 필수적인 제약 조건 존재
실천 포인트
- WinRE 및 복구 파티션 내 설정 파일(XML)에 대한 쓰기 권한 제어 상태 점검 - 특권 권한 상승(Privilege Escalation) 경로가 될 수 있는 복구 환경의 부팅 시퀀스 보안 강화 - 하드웨어 기반 신뢰 루트(Root of Trust)와 결합된 부팅 무결성 검증 프로세스 적용 검토