NotionGithubSiteContact

Windows Driver

드라이버는 컴퓨터의 운영 체제가 하드웨어 장치와 상호 작용할 수 있도록 하는 소프트웨어입니다. 이를 이용하여 커널 모드에서만 접근할 수 있는 자원을 사용하거나, 명령을 내릴 수 있습니다.

커널 드라이버에는 대표적으로 그래픽 드라이버, 프린터 드라이버 등 장치 드라이버 뿐만 아니라 운영체제를 Low-level에서 모니터링해야 하는 보안 솔루션(EDR, Anti-Virus)의 드라이버도 포함됩니다.

실제로 본 프로젝트에서 발견한 Kernel Driver를 사용하는 분야는 다음 5가지입니다.

  1. Anti-Virus Program

  2. Security Solution (Financial, Game, Document, ...)

  3. OT Program (interacts with PLCs, ...)

  4. Physical Device Control or Monitoring

  5. Driver Development Program

커널 드라이버가 필요한 프로그램을 개발하는 많은 Vendor들은 보안을 고려하지 않고, Microsoft는 Vendor에 의존하여 드라이버의 보안성을 검증하고 있습니다. 다시말해, Windwos Built-in Kernel Driver가 아닌 3rd party Kernel Driver는 Kernel 수준에서 준수해야하는 높은 보안 수준을 충족하지 못할 수 있습니다.

이러한 상황에서 Kernel Driver에서 Bug가 발생하게 되면 마치 Kernel 자체에 있는 버그처럼 전체 OS의 무결성을 손상시킬 수 있기 때문에 Windows Kernel Driver의 중요성은 매우 높습니다.

저희는 분야별로 프로그램을 조사하여 100개의 벤더사를 대상으로 128개의 프로그램을 Target으로 선정하였습니다. 선정 기준은 다음과 같습니다.

  • CVE 발급 이력이 존재할 것

  • 취약점을 Handling 할 수 있는 PSIRT팀이 존재하거나, 창구가 존재할 것

  • 분야 별 최소 20위 이내 기업일 것

  • 국내외 영향력을 고려

  • 공신력 있는 기관이 인증한 프로그램일 것

PreviousTeam. 우리 오늘부터 0-dayNextRelated Works

Last updated