Molayo

© 2026 Molayo

퀘이사존요약2026. 05. 23. 14:19

Windows 11 KB5089549 업데이트에는 시스템을 장악하기 위한 치명적인 레지스트리 해킹 악성코드가 심어져 있을 수 있습니다

요약

Windows 11의 최신 업데이트인 KB5089549에서도 cldflt.sys 드라이버를 이용한 로컬 권한 상승(LPE) 취약점이 여전히 악용될 수 있음이 PoC를 통해 확인되었습니다. 이 취약점은 과거 Google Project Zero가 보고했던 CVE-2020-17103과 밀접한 관련이 있으며, 레지스트리 조작을 통해 시스템 권한을 탈취할 수 있습니다.

핵심 포인트

  • cldflt.sys 드라이버 관련 LPE 취약점 재발 확인
  • MiniPlasma PoC를 통한 SYSTEM 권한 상승 시연 성공
  • KB5089549 업데이트가 해당 취약점에 노출될 가능성 존재
  • 과거 패치가 불완전했거나 근본 원인이 해결되지 않았을 가능성

출처 1: https://www.neowin.net/news/windows-11-kb5089549-can-be-planted-with-deadly-registry-hack-to-take-over-your-system/

해외 기사를 번역기로 번역 하였습니다 오역이 있을수 있으니 원문을 참고 하세요

새로운 PoC 익스플로잇은 마이크로소프트의 이전 보안 패치에도 불구하고 오랫동안 존재해 온 윈도우 LPE 취약점이 여전히 악용될 수 있음을 시사합니다.

최근 공개된 개념 증명(PoC) 익스플로잇으로 인해 마이크로소프트의 이전 보안 패치에도 불구하고 완전히 해결되지 않았을 가능성이 있는 윈도우 취약점에 대한 관심이 다시 높아지고 있습니다. "MiniPlasma"라는 이름으로 공개 저장소에 게시된 이 익스플로잇은 윈도우 클라우드 파일 미니 필터 드라이버인 cldflt.sys와 관련된 로컬 권한 상승(LPE) 문제를 보여줍니다. 최근 " GreenPlasma "에 대한 세부 정보도 공개한 저장소 관리자 Nightmare-Eclipse에 따르면, MiniPlasma 결함은 Google Project Zero의 이슈 42451192(ID CVE-2020-17103)와 밀접한 관련이 있는 것으로 보입니다.

궁금해하시는 분들을 위해 설명드리자면, Windows 클라우드 파일 미니 필터 드라이버(cldflt.sys)는 OneDrive의 파일 온디맨드와 같은 클라우드 동기화 기능을 지원하는 커널 수준의 파일 시스템 미니 필터입니다. 파일 시스템 미니 필터는 Windows의 파일 I/O 스택에 연결되어 파일이 저장소에 도달하기 전에 파일 작업을 모니터링, 필터링 또는 수정하는 데 도움을 줍니다. Microsoft의 클라우드 파일 API를 사용하면 동기화 공급자가 콘텐츠가 클라우드에 저장되어 있는 동안 로컬에 표시되는 자리 표시자 파일을 만들 수 있습니다. 기본적으로 cldflt.sys는 Windows 탐색기 내에서 이러한 자리 표시자, 동기화 상태 및 클라우드 기반 파일 액세스를 투명하게 관리하는 데 도움을 줍니다.

프로젝트 문서에서 개발자는 해당 취약점이 약 6년 전 Google Project Zero를 통해 Microsoft에 처음 보고되었으며(CVE ID에서 알 수 있듯이), 당시 패치된 것으로 여겨졌다고 명시하고 있습니다(Windows 10에서는 KB4592438 업데이트 로 해결된 것으로 추정됨 ). 그러나 이전 연구를 재검토한 결과, 최신 패치가 적용된 Windows 시스템에서도 동일한 근본적인 문제가 여전히 존재할 수 있음을 발견했습니다.

이는 지난주에 출시된 최신 Windows 11 KB5089549 패치 화요일 업데이트 또한 이 문제의 영향을 받을 수 있음을 의미합니다. Nightmare-Eclipse는 Google이 제공한 원래 PoC(개념 증명)가 "아무런 변경 없이" 계속 작동했다고 지적했는데, 이는 Google이 해당 문제를 "해결됨"으로 표시한 것을 고려할 때, 원래의 해결 조치가 불완전했거나 나중에 되돌려진 것인지에 대한 의문을 제기합니다.

이 익스플로잇은 cldflt.sys 내의 HsmOsBlockPlaceholderAccess 루틴을 구체적으로 표적으로 삼아 .DEFAULT 사용자 하이브에 임의의 레지스트리 키를 심어 궁극적으로 권한 상승 공격(LPE)을 유발합니다. 작성자는 이 코드가 SYSTEM 레벨 셸을 생성하도록 수정되었으며, 이를 통해 낮은 권한의 계정에서 완전한 권한 상승을 효과적으로 시연할 수 있다고 밝혔습니다. 이 익스플로잇은 경쟁 조건에 따라 작동 여부가 달라질 수 있는 것으로 알려져 있습니다 .

보안 연구원 윌 도르만은 개념 증명(PoC)을 테스트한 결과 시스템 권한 상승에 성공했음을 확인했습니다 . 흥미롭게도 그는 이 취약점이 " 최신 Windows 11 인사이더 프리뷰 카나리 " 버전에서는 작동하지 않았다고 덧붙였습니다. 따라서 마이크로소프트가 6년 만에 이 문제를 (다시?) 해결할 가능성이 있지만 , 패치 화요일에 반영되기까지는 시간이 좀 걸릴 것으로 보입니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 퀘이사존 하드웨어 뉴스의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
1

댓글

0