[ Datadog ] Datadog Windows 커널 드라이버에서 발견된 취약점

Datadog Windows 커널 드라이버 ddnpm.sys 에서 발견된 취약점에 대해 알려드립니다 . 이 드라이버는 Windows 호스트의 네트워크 모니터링을 지원하는 데 사용됩니다. 해당 문제는 특정 TLS 핸드셰이크 트래픽을 파싱하는 과정에서 경계 검사가 누락되어 발생합니다.

1. 영향: 해당 드라이버 버전은 서비스 거부 공격에 취약할 수 있습니다. 
   • 참고: 이 드라이버는 기본적으로 활성화되어 있지 않습니다system_probe_config . Windows 호스트에서 또는 network_config가 service_monitoring_config 활성화된 경우  에만 작동합니다 .
     
     
2. 영향을 받는 버전:
   • Datadog Windows 에이전트 버전: 7.41.0 이상.
   • 드라이버 버전: ddnpm 2.1.1 ~ 2.11.0.
     
     
3. 해결 방안: 잠재적인 취약점을 차단하는 패치가 개발되었으며, 테스트 환경에서 성공적으로 검증되었습니다. 현재 최종 작업을 진행 중이며, 7.77 버전에 포함하여 배포할 예정입니다.
   
   
4. 권장 조치 사항:
   • 플릿 자동화: 이 링크를 사용하여 영향을 받는 호스트를 찾으세요. 
   • 드라이버가 실행 중인지 확인하십시오.
     • PowerShell:Get-Service ddnpm
     • 명령 프롬프트:sc query ddnpm
   • 위험 완화: 인터넷에 연결되어 있거나 트래픽이 많은 Windows 서버를 운영하여 잠재적인 영향을 허용할 수 없는 경우, 패치가 제공될 때까지 네트워크 모니터링 또는 시스템 프로브를 일시적으로 비활성화하는 것을 고려하십시오.   
   • 업데이트를 모니터링하세요: 7.77 에이전트가 출시되는 즉시 알려드리겠습니다. 출시되면 해당 ddnpm서비스를 실행 중인 모든 호스트에 대해 업데이트를 우선적으로 적용하세요.
   • 안심하고 구성을 재개하세요. 업데이트된 에이전트가 설치되면 모든 네트워크 모니터링 기능을 안전하게 다시 활성화할 수 있습니다.

만약 해당 문제가 현재 범위를 넘어 기밀성, 무결성 또는 가용성에 영향을 미친다고 판단될 경우, 책임 있는 공개 관행에 따라 업데이트된 지침을 제공하고 CVE를 게시할 수 있습니다.

[ Datadog 안내 원문 ] 

We are reaching out to inform you of a vulnerability identified in the Datadog Windows kernel driver ddnpm.sys, which is used to support Network Monitoring on Windows hosts. The issue is caused by missing boundary checks while parsing certain TLS handshake traffic.

Impact: The affected versions of the driver may be subject to a potential Denial of Service. 

Note: This driver is not enabled by default. It is only active on Windows hosts if system_probe_config or network_config or service_monitoring_config have been enabled. 

Impacted Versions:

• Datadog Windows Agent Versions: 7.41.0 and higher.
• Driver Versions: ddnpm 2.1.1 through 2.11.0.

Remediation: A patch has been developed and successfully verified against potential exploits. in our testing environment. We are currently finalizing the release, which we expect to publish in version 7.77.

Recommended actions:

• Fleet Automation: Use this link to find impacted hosts. 
• Confirm whether the driver is running
  • PowerShell: Get-Service ddnpm
  • Command Prompt: sc query ddnpm
• Mitigate risk: Consider temporarily disabling Network Monitoring or the System Probe until the patch is available if you operate internet-facing or high-traffic Windows servers that cannot tolerate the potential impact.   
• Monitor for updates: We will notify you as soon as the 7.77 agent is available. Once released, prioritize the update for any impacted hosts running the ddnpm service.
• Resume configuration confidently: Once the updated Agent is installed, safely re-enable all Network Monitoring features.

If we determine the issue impacts confidentiality, integrity, or availability beyond the current scope, we will provide updated guidance and may publish a CVE, following responsible disclosure practices.