세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
인텔 칩의 취약점 악용하면 ‘갓 모드’ 발동시킬 수 있어
  |  입력 : 2017-12-07 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블랙햇 유럽서 발표된 내용...인텔 칩셋 취약점, 치명적인 위험
ME의 쓰기 기능 통해 버전 다운 후 공략 가능...바이오스 버전 확인 필수


[보안뉴스 문가용 기자] 최근 발견된 인텔 마이크로프로세서에서의 취약점을 공격자가 악용하기 시작하면 기기 및 통제 프로세스 내에 깊숙하게 숨어들어 데이터에 접근할 수 있다는 게 밝혀졌다. 랩톱, 워크스테이션, 서버 등의 전원이 켜져 있지 않은 상태에서도 말이다.

[이미지 = iclickart]


이러한 내용은 어제 열린 블랙햇 유럽(Black Hat Europe) 행사에서 상세히 공개됐다. 발표자인 마크 에르몰로프(Mark Ermolov)와 막심 고랴치(Maxim Goryachy)에 따르면 이 취약점은 인텔의 관리엔진(ME) 11 시스템에 있는 스택 버퍼 오버플로우(stack buffer overflow) 버그로 2015년부터 출시된 인텔 칩 거의 대부분에 존재한다고 한다. ME는 자체 운영 시스템을 가지고 있으며, 기기가 시동 걸릴 때 혹은 ‘슬립 모드’일 때 프로세서와 외부 기기들 간 통신을 담당한다.

근접 접근이 가능한 공격자라면 이 취약점을 악용할 수 있으며, 성공할 경우 이른바 ‘갓 모드(god mode)’에 돌입할 수 있게 된다고 에르몰로프와 고랴치는 설명했다.

인텔은 이미 11월 20일에 이 취약점에 대한 권고 사항과 보안 업데이트를 발표했다. 하지만 완전하지 않았다고 두 발표자는 주장했다. “20일 발표 후에도 ME 커널 내에 버퍼 오버플로우 취약점(CVE-2017-5705)이 여전히 존재했고, 인텔 서버 플랫폼 서비스 펌웨어 커널에도 버퍼 오버플로우가 발견됐으며(CVE-2017-5706), 인텔 신뢰된 실행 엔진 펌웨어(Trusted Execution Engine Firmware) 커널에도 있었습니다(CVE-2017-5707).” 물론 인텔은 최근의 ME 업데이트를 통해 이 취약점들도 해결한 바 있다.

“그러므로 패치가 불완전한 상태에서 공격자가 해야 할 일이란, 1) 시스템에 물리적으로 접근해 2) ME를 업데이트 이전 버전으로 돌리고, 3) 취약점들을 익스플로잇하는 겁니다. 인텔이 최근 패치를 발표하면서 해결한 취약점들이지만 공격자가 ME 영역에 ‘쓰기 권한’을 가지고 있다면 얼마든지 ME의 버전을 바꿀 수 있습니다.” 그리고 이러한 공격에 대한 ‘완벽한 대응책’은 아직 없다고 그들을 설명한다.

인텔의 OEM들이라면 이러한 공격에 대비하기 위해 칩의 생산자 모드를 끔으로써 로컬에서의 공격이 불가능하도록 만들어야 한다고 둘은 조언했다. “공격자 입장에서 제일 먼저 해결해야 하는 건 ME 내에서 쓰기 기능을 가져가는 겁니다. ME의 쓰기 기능은 ME의 펌웨어와 바이오스를 담고 있는 SPI 플래시 칩의 일부이죠. 공격자가 플래시를 다시 작성하고 버퍼 오버플로우 익스플로잇을 시작하면 ME에 접근할 수 있게 됩니다.” 에스몰로프의 설명이다.

“이 공격에 성공하면 기기를 거의 완벽하게 통제할 수 있게 됩니다. 메모리, USB 드라이브, 네트워크에 몽땅 접근할 수 있게 되죠. 하드디스크가 암호화되어 있어도 풀 수 있고, DRM에 의해 보호받고 있는 콘텐츠도 열람할 수 있습니다. PC 내에서 이뤄지는 모든 활동을 추적, 감시할 수도 있고요.”

기업들은 오픈소스인 CHIPSEC 유틸리티를 활용해 BIOS 환경설정 오류 등을 확인할 수 있다. “이 유틸리티를 확인해 BIOS 최신 버전을 확인할 수 있습니다. OEM이 인텔의 펌웨어 업데이트를 반영했는지 미리 알아볼 수 있겠죠.”

위 취약점들이 발견도니 인텔 프로세서들은 다음과 같다.
1) 6세대~8세대 인텔 코어
2) Xeon E3-1200 v5~6 제품군
3) Xeon Scalable Family
4) Xeon W Family
5) Atom C3000 Family
6) Apollo Lake Intel Atom E3900 시리즈
7) Apollo Lake Intel Pentium
8) CeleronG, N, J 시리즈

인텔은 올해만 심각한 펌웨어 취약점 사태를 두 번이나 겪었다. 지난 5월 인텔은 액티브 관리 기술(AMT) 펌웨어에서 권한 상승 취약점을 발견한 바 있다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#인텔   #OEM   #블랙햇   #갓 모드   #완전 통제   #메모리   #BIOS   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)