5월 14일, 구글이 오픈소스 프로젝트들의 보안을 강화하기 위해 새로운 오픈소스 관리 팀을 창설했다고 발표했습니다.

새로운 팀 이름은 Open Source Maintenance Crew인데요. 오픈소스 개발의 보안 취약점 탐색, 오픈 소스 보안에 필요한 정보 제공 등의 업무를 수행한다고 해요!

이번 발표는 OpenSSF(Open Source Security Foundation)에서 오픈소스 리포지토리에 업로드된 모든 패키지의 동적 분석을 수행하기 위한 패키지 분석 프로젝트 를 발표한지 2주도 채 되지 않은 시점에 이루어졌는데요.

Log4j 등 오픈소스 보안이 부각되는 사건들로 인해 구글도 칼을 갈고 있는 것으로 보이네요! 🔪

DLP는 Data Loss Prevention, 중요 데이터가 유출되는 것을 방지하는 솔루션입니다.

당연히 DLP 솔루션은 비인가자의 강제 종료 시도를 막을 수 있어야 하는데요.

Forcepoint DLP Endpoint에서 간단한 레지스터 값 변조를 통해 공격자가 솔루션을 비활성화하고 더불어 시스템 권한 상승까지 가능한 취약점이 발견되었습니다.

공격자는 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\fpeca 레지스터의 키 3개의 값을 바꾸는 것으로 이 모든걸 할 수 있었습니다.

Start 값은 기본적으로 0x02 로 이 값은 항상 로드되고 실행됨을 의미합니다.

그리고 Type 값은 기본적으로 0x10 으로 stand-alone process임을 나타냅니다.

공격자는 이 두 키의 값을 다른 값 (e.g. 0x1 )으로 바꾸고 재부팅을 하는 방법으로 솔루션을 비활성화가 가능했습니다.

또한 ImagePath 값을 조절하여 공격자의 프로그램을 실행시킬 수 있는데 SYSTEM 권한으로 실행되기 때문에 권한 상승까지 가능했는데요.

취약점이 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Fppsvc 레지스터에서도 동일하게 나타나는 것이 확인되었습니다.

안타깝게도 해당 솔루션은 process 강제 종료에 대한 취약점도 발견되었는데요.

해당 솔루션의 중요 프로세스인 fppsvc.exe 가 administrator 권한을 가지고 있다면 누구나 강제로 종료시킬 수 있었습니다.

물론 fppsvc.exe 는 종료되면 재 시작되도록 동작하지만 다시 실행되는데 걸리는 시간이 종료하는데 걸리는 시간보다 길어 위와 같은 간단한 구문을 통해 비활성화 시킬 수 있습니다.