🖋️ eudcedit.exe로 UAC 우회? 윈도우 권한 상승 취약점 발견!

최근 보안 연구자들이 Windows 사용자 계정 컨트롤(UAC)을 우회하는 새로운 방법을 발견했습니다.
이번에 악용된 건 C:\Windows\System32\eudcedit.exe라는 조금 생소한 프로그램인데요,
이름부터 어렵지만 사실 이건 Private Character Editor라는 툴로,
사용자 정의 문자(EUDC)를 만들고 수정할 때 쓰이는 도구입니다.

문제는, 이 무해해 보이는 툴이 의외로 관리자 권한을 바로 따낼 수 있는 길이 되어버린다는 거죠. 😱

---

🔍 취약점의 원인: 애플리케이션 매니페스트

연구자들이 분석해보니, eudcedit.exe에는 실행과 관련된 매니페스트(Manifest) 설정이 포함돼 있는데, 이게 바로 권한 상승의 열쇠였습니다.

1. <requestedExecutionLevel level="requireAdministrator" />
   → 프로그램 실행 시 자동으로 관리자 권한을 요청하도록 지정
2. <autoElevate>true</autoElevate>
   → 관리자로 로그인한 상태라면 UAC 프롬프트를 건너뛰고 바로 권한 상승

이 두 설정이 합쳐지면, 관리자 그룹 소속 사용자가 실행할 경우, 아무 경고창도 없이 관리자 권한 프로그램이 실행돼 버립니다.

---

💻 공격 절차

생각보다 공격 절차는 아주 단순합니다.
단계별로 보면 이렇게 진행됩니다.

1. eudcedit.exe 실행
   • 윈도우 검색창이나 C:\Windows\System32에서 더블클릭
2. 메뉴에서 File → Font Links 클릭
3. 두 번째 옵션 선택 후 Save As 버튼 클릭
4. 파일명 입력창에 "PowerShell" 입력
5. 엔터! 🎯 → 관리자 권한으로 PowerShell이 실행됨 (UAC 경고창 없음)

여기서 중요한 건, 일반 사용자가 아니라 관리자 그룹 계정이어야 이 우회가 가능합니다.
UAC 설정이 **"관리자 계정은 경고 없이 바로 권한 상승"**으로 되어 있다면 그냥 뚫립니다.

---

⚠️ 왜 위험한가?

UAC는 원래 악성코드나 무단 프로그램 설치를 막기 위한 보안 장치입니다.
새 프로그램을 설치하거나 시스템 설정을 바꾸려고 하면 "이 작업을 허용하시겠습니까?"라는 창이 뜨죠.

하지만 이 취약점은 윈도우가 ‘신뢰하는 시스템 도구’를 악용하기 때문에, 보안 경고가 아예 뜨지 않습니다.
결과적으로 악성코드가 이 방법을 사용하면 백그라운드에서 관리자 권한 확보 → 시스템 장악이 가능해집니다.

---

🛡️ 대응 방법

기업 환경이나 서버에서는 반드시 다음 조치를 고려해야 합니다.

1. UAC 설정 강화
   • 제어판 → 사용자 계정 컨트롤 설정
   • "항상 알림" 또는 최소 "프로그램에서 변경 시 알림"으로 변경
2. eudcedit.exe 실행 모니터링
   • EDR/XDR 또는 SIEM에서 해당 프로세스 실행 감지 규칙 추가
3. 화이트리스트 관리
   • 불필요한 시스템 툴 사용 제한
4. 사용자 교육
   • "파일 저장창에 명령어 입력" 같은 비정상 요청은 무조건 의심하도록 안내

---

📌 정리

• eudcedit.exe는 원래 폰트 제작 툴이지만, 매니페스트 설정으로 인해 UAC를 건너뛸 수 있음
• 악성코드 제작자는 이걸 이용해 **관리자 권한 쉘(PowerShell 등)**을 바로 실행 가능
• 특히 UAC 완화 설정된 관리자 계정 환경이 위험
• 해결책은 UAC 강화 + 실행 모니터링 + 불필요한 시스템 툴 차단

이번 사례는 “잘 안 쓰는 기본 프로그램”도 공격 표면이 될 수 있다는 걸 잘 보여줍니다.
보안 점검은 눈에 보이는 곳만 하는 게 아니라, 시스템 구석구석까지 해야 한다는 거죠. 🔍