Close

12 년 동안 발견되지 않은 숨어있는 Windows Defender 취약점

12 년 동안 발견되지 않은 숨어있는 Windows Defender 취약점
ByRyeo Hae-Won
  • Published2월 12, 2021

교수 때문에 취약점이 오래되었다고해서 유용하지 않다는 의미는 아닙니다. 그 여부 Adobe Flash 불법 복제 아니면 그 Windows 용 EternalBlue 악용일부 기술은 공격자가 수년을 넘어서더라도 포기하기에는 너무 좋습니다. 그러나 공격자와 방어자 모두 Microsoft의 유비쿼터스 Windows Defender 바이러스 백신에서 12 년 된 위험한 버그를 간과 한 것 같습니다. 마이크로 소프트가 마침내 그것을 옳았으니, 핵심은 해커들이 잃어버린 시간을 보충하려고하지 않도록하는 것입니다.

보안 회사 SentinelOne의 연구원이 발견 한이 결함은 Windows Defender가 작년에 Microsoft Defender로 이름을 변경하여 침입 파일과 맬웨어가 만들 수있는 인프라를 삭제하는 데 사용하는 드라이버에서 나타났습니다. 드라이버가 악성 파일을 제거하면 복구 중에 일종의 자리 표시 자로 무해한 새 파일로 대체합니다. 그러나 연구원들은 시스템이이 새로운 파일을 구체적으로 확인하지 않는다는 것을 발견했습니다. 결과적으로 공격자는 드라이버가 잘못된 파일을 덮어 쓰거나 악성 코드를 실행하도록 지시하는 전략적 시스템 링크를 삽입 할 수 있습니다.

Windows Defender는 기본적으로 Windows와 함께 제공되므로 전 세계 수억 대의 컴퓨터와 서버에 존재하기 때문에 이러한 조작에 대한 공격자에게 끝없이 유용 할 것입니다. 바이러스 백신 소프트웨어는 운영 체제 내에서도 매우 안정적이며 약한 드라이버는 적법성을 증명하기 위해 Microsoft에 의해 암호화됩니다. 실제로이 결함을 악용하는 공격자는 중요한 프로그램이나 데이터를 삭제하거나 드라이버가 자신의 코드를 실행하여 장치를 제어하도록 지시 할 수 있습니다.

SentinelOne의 선임 보안 연구원 인 Casif Dekel은 “이 버그로 인해 권한이 확대 될 수 있습니다. “낮은 권한으로 실행되는 프로그램은 관리 권한에 부응하고 컴퓨터를 위험에 빠뜨릴 수 있습니다.”

SentinelOne은 11 월 중순에 Microsoft에 처음으로 버그를보고했고 회사는 화요일에 패치를 발표했습니다. Microsoft는 중요한주의 사항이 있지만 취약점을 “높음”으로 평가했습니다. 취약점은 공격자가 이미 대상 장치에 원격 또는 물리적으로 액세스 할 수있는 경우에만 악용 될 수 있습니다. 즉, 해커를위한 원 스톱 상점이 아니며 대부분의 공격 시나리오에서 다른 취약점과 함께 배포되어야합니다. 그러나 이미 이러한 액세스 권한을 가지고있는 해커에게는 여전히 매력적인 대상이 될 것입니다. 공격자는 관리자 계정과 같은 프리미엄 사용자 계정에 먼저 액세스하지 않고도 Windows 시스템을 해킹하여 네트워크 또는 피해자의 시스템에 더 깊이 침투 할 수 있습니다.

SentinelOne과 Microsoft는 연구원의 분석 이전에 결함 탐지 및 악용에 대한 증거가 없다는 데 동의합니다. SentinelOne은 공격자가 Microsoft가 확장 할 시간을 제공하기 위해 취약점을 악용 한 방법에 대한 세부 정보를 공개하지 않습니다. 이제 결과가 공개되었으므로 나쁜 행동을하는 사람들이 어떻게 이익을 얻을 수 있는지 알아내는 것은 시간 문제 일뿐입니다. Microsoft 대변인은 2 월 9 일 패치를 설치했거나 자동 업데이트를 활성화 한 모든 사람이 이제 보호된다고 언급했습니다.

주류 운영 체제의 세계에서 12 년은 심각한 취약점을 숨기는 데 긴 시간입니다. 연구자들은 Windows에 오랫동안 있었을 수 있지만 VirusTotal 보안 도구가 바이러스 백신 제품에 대한 정보를 저장하는 기간 때문에 조사가 제한적이라고 말합니다. 2009 년에 Windows Vista는 Microsoft의 현재 버전 인 Windows 7로 대체되었습니다.

연구원들은 약한 드라이버가 프린터 드라이버와 같은 컴퓨터의 하드 드라이브에 풀 타임 저장되지 않았기 때문에 오류가 오랫동안 숨겨져 있다고 가정합니다. 대신 “동적 링크 라이브러리”라고하는 Windows에 있으며 Windows Defender는 필요할 때만 다운로드합니다. 드라이버가 완료되면 디스크에서 다시 삭제됩니다.

Leave a Reply

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다