2009년 12월 23일 수요일

Intel, vPro 소프트웨어 내 심각한 보안 버그 패치 공개.

 Intel이 확장을 완전히 우회하도록 허용하는 취약점을 폴란드에서 확인해 회로 기반 보안 보호를 위한 패치를 공개했다고 합니다.

 내용을 대충 보니 중요한 파일을 보호하고 OS부팅시 간섭이 발생하면 알리는 Intel의 TXT(Trusted eXecution Technology)가 제대로 동작하지 않게 되는 오류인듯 싶습니다.
 영향을 받는 칩은 Q35, GM45, PM45 Express, Q45, 과 Q43 Express 칩이라고 하니 위의 칩셋을 쓰는 경우 참고하시기 바랍니다.

이번에 문제가 발생한 vPro플랫폼은 Intel의 기업용  PC 플랫폼으로 전원이 꺼진 PC를 외부에서 켜고 접속할수 있는 기능 등 재미있는 기능이 내장되어 있죠.

 이번 문제는 SINIT코드 내 잘못된 설정으로 인해 공격자가 TXT를 회피하고 권한을 올릴수 있는 문제로 Intel에서 SINIT의 인증 코드 모듈(ACM)를 업데이트해 TXT를 회피할수 있는 문제점을 수정했다고 합니다.

 문제가 발생한 vPro플랫폼과 이번 버그에 대한 좀 더 자세한 내용은 Invisible Things Lab의 보도자료(PDF)를 참조하시기 바랍니다.

 7월에는 Ring -3로 알려진 루트킷을 이용해 AMT(Active Management Technology)로 알려진 Intel의 기술 공격에 대한 연구가 공개되기도 했었다고 합니다. 그 공격에 대한 자료는 여기 있으며, Intel의 해결을 위한 조언문은 여기를 보시기 바랍니다.


 사실 중요 파일이 변경되거나 부팅중 간섭이 발생되는 일은 보안상 심각한 일입니다. 실제로 악성코드가 이런 방법을 악용하면 커널에 직접 접속할수 있는 권한을 차지할 수있게 돼 안티 바이러스 프로그램과 같은 보안 프로그램은 악성코드를 전혀 탐지하지 못하게 됩니다.

 마치 보안실이나 통제실을 도둑에게 장악당해 모든 보안장비가 해제당하는 것과 같은 상황이 벌어지는 거죠.

 이번 버그는 사실 몇 달전에 발견되었지만 Intel측에서 문제 해결을 위한 패치를 마련할때까지 공개가 보류된 듯 합니다. 보안쪽에선 종종 있는 일이지만 발빠른 조치가 없으면 위험할수 있는 문제죠.

 비슷한 예가 올 가을에 발생한 Click-jacking으로 문제점과 함께 완벽하지 않지만 예방법이 공개되었음에도 대처가 미비해 1달후 쯤 공격이 시작되자 좀 시끄러웠었죠.