SYSTEM 권한의 Confused Deputy 취약점을 통한 Arbitrary Write primitive 생성

RedSun turned Defender into a write primitive

RC2026년 5월 6일7분advanced

AI 요약

Context

Windows Defender의 Remediation Pipeline이 탐지된 악성 파일을 제거하는 과정에서 발생한 설계 결함 분석. 프로세스 ID 기반의 Trust 모델에 의존하여, SYSTEM 권한을 가진 서비스가 공격자가 제어 가능한 경로에 쓰기 작업을 수행하는 구조적 한계 노출.

Technical Solution

Process Identity와 Operation Authorization의 분리를 통한 권한 모델 재설계
Trusted Process라는 정체성 대신 수행되는 개별 Operation의 대상 경로를 검증하는 독립적 Authorization Check 도입
SYSTEM 계정의 전체 쓰기 권한과 Remediation 작업에 허용된 Finite Path Set을 엄격히 구분하여 정책 적용
공격자가 입력값으로 제어하는 Destination Parameter를 신뢰하지 않고, 선언된 Permitted-set 내에서만 동작하도록 Boundary 제어
Identity-based Trust에서 Operation-based Validation으로의 전이로 Confused Deputy 조건 제거

실천 포인트

- 고권한 서비스 설계 시 '누가(Who)' 실행하는가보다 '무엇을(What)' 어디에 수행하는가에 집중하여 검증할 것 - 외부 입력값이 파일 경로, 리소스 ID 등 목적지(Destination)를 결정하는 경우, 해당 값이 허용된 화이트리스트 내에 있는지 반드시 확인 - SYSTEM 권한 프로세스 내에서도 최소 권한 원칙(Principle of Least Privilege)을 적용하여 기능별 접근 가능한 경로를 제한적으로 정의

태그

#Privilege-Escalation #Remediation Pipeline #Authorization #Confused-Deputy #Arbitrary Write

원문 읽기