Kant's IT/Vulnerability

Windows Hyper-V 시스템 권한 상승 취약점 PoC 공개 (CVE-2025-21333)

Kant Jo 2025. 3. 23. 19:28

PoC Released for Windows Hyper-V SYSTEM Privilege Exploit

 

PoC Released for Windows Hyper-V SYSTEM Privilege Exploit

Security researchers have publicly disclosed a proof-of-concept (PoC) exploit for CVE-2025-21333, a critical elevation-of-privilege vulnerability in Microsoft's Hyper-V virtualization framework.

gbhackers.com

 

  • 취약점 개요
    • Windows Hyper-V의 vkrnlintvsp.sys 드라이버에서 발견된 권한 상승(EoP, Elevation of Privilege) 취약점
    • CVE-2025-21333로 지정되었으며, 힙 기반 버퍼 오버플로우(CWE-122) 를 이용하여 로컬 공격자가 SYSTEM 권한을 획득 가능
    • 해당 취약점에 대한 PoC(Proof-of-Concept) 코드가 공개됨
    • CVSSv3 점수 7.8(중요, Important) 등급으로 평가됨
  • 취약점 세부 내용
    • 취약점은 Hyper-V 가상화 서비스 공급자(NT Kernel & System)에서 발생하는 힙 오버플로우 문제에서 비롯됨
    • 공격자는 악의적인 I/O 요청 패킷(IRP)을 사용하여 Windows의 페이지드 풀(Paged Pool) 메모리 내 중요 구조체를 덮어쓸 수 있음
    • 성공적인 공격 시 아래와 같은 권한 상승 가능
      • 커널 메모리 내 임의 읽기/쓰기 가능
      • 프로세스 토큰 직접 조작 가능
      • 표준 사용자 계정을 SYSTEM 권한으로 상승 가능
    • 공격 기법은 Windows I/O Ring(Windows 11 22H2 도입된 고성능 I/O 메커니즘)을 악용
    • _IOP_MC_BUFFER_ENTRY 구조체를 조작하여 커널 연산을 공격자가 제어하는 메모리 영역으로 리디렉션 가능
  • PoC 공격 기법
    • 풀 그루밍(Pool Grooming): I/O Ring Buffer 풀 할당 및 해제를 반복하며 메모리 패턴 제어
    • 제어된 오버플로우(Controlled Overflow): 취약점을 유발하여 인접한 메모리 영역 덮어쓰기
    • 메모리 리디렉션(Memory Redirection): 합법적인 _IOP_MC_BUFFER_ENTRY 포인터를 공격자 지정 주소로 변경
    • PoC 코드 예제 (간략화) 
        // IOP_MC_BUFFER_ENTRY 배열 포인터 덮어쓰기
  BuildIoRingWriteFile(
      hIoRing,
      malicious_entry_ptr,  // 사용자 공간에서 조작된 버퍼 엔트리
      target_process_token,
      sizeof(TOKEN),
      0,
      FILE_WRITE_FLAGS_NONE
  );
    • PoC 특징
      • 기존의 주소 유출(Address Leak) 기법을 사용하지 않음
      • I/O Ring 연산을 통해 전체 공격 흐름 제어 가능
      • SYSTEM 프로세스의 _TOKEN 구조체 내 tokenPrivileges 필드를 수정하여 권한 상승
  • 영향받는 시스템 및 환경
    • Windows 11 23H2 (확인됨)
    • Windows 11 24H2 (의심됨)
    • Hyper-V가 활성화된 모든 Windows 환경
    • 공격이 성공하려면 아래 조건 필요
      • Windows Sandbox 기능이 활성화된 상태
      • 0x50 바이트 크기의 풀 할당 작업 수행 가능
      • 취약한 vkrnlintvsp.sys 드라이버 사용 (SHA256: 28948C65EF108AA5B43E3D10EE7EA7602AEBA0245305796A84B4F9DBDEDDDF77)
  • 관련 위협 및 공격 그룹 연관 가능성
    • DarkHydrus의 동남아시아 작전
    • 최근 Azure VM 자격 증명 탈취 캠페인
    • Windows Containers를 통한 추가 공격 가능성
  • 보안 권고
    • 패치 적용
      • Microsoft에서 제공하는 보안 업데이트를 최대한 신속히 적용
    • 대체 완화 조치 (패치 적용이 어려운 경우)
      • PowerShell을 활용한 취약한 드라이버 비활성화 
          Disable-WindowsOptionalFeature -Online -FeatureName “Containers-DisposableClientVM”
    • 공격 탐지 및 모니터링
      • IrRB/NpAt 풀 태그 할당 모니터링
      • PoC 코드와 연관된 바이너리 실행 차단
      • EDR 솔루션을 통해 SYSTEM 토큰 변경 내역 감시
  • 결론
    • 커널 메모리 조작을 통한 권한 상승 공격이 점점 정교화되고 있으며, 기업 및 기관은 최신 보안 패치 적용을 최우선 과제로 고려해야 함
    • Hyper-V 및 관련 가상화 환경을 운영하는 조직은 해당 취약점이 미칠 영향을 면밀히 평가하고 보안 업데이트를 빠르게 적용해야 함
    • PoC 코드가 공개된 만큼, 사이버 공격자들의 악용 가능성이 급격히 증가할 것으로 예상되므로 지속적인 모니터링과 대응이 필수적
저작자표시 비영리 변경금지

'Kant's IT > Vulnerability' 카테고리의 다른 글

VMware 제품군 제로데이 취약점(CVE-2025-22224~22226) 긴급 보안 권고  (0) 2025.03.24
F5 보안 플랫폼 'BIG-IP' 커맨드 인젝션 취약점(CVE-2025-20029)  (0) 2025.03.24
Paragon Partition Manager 보안 취약점, 권한 상승 및 서비스 거부(DoS) 공격 가능  (0) 2025.03.23
CISA, 신규 악용 취약점 목록에 다수의 보안 취약점 추가(2025.03.04)  (0) 2025.03.17
GitLab 취약점, 보안 우회 및 악성 스크립트 실행 가능성 발견  (0) 2025.03.15

'Kant's IT/Vulnerability'의 다른글

  • 현재글Windows Hyper-V 시스템 권한 상승 취약점 PoC 공개 (CVE-2025-21333)

관련글

티스토리툴바