꿈을꾸는 파랑새

윈도우 디펜더 1.1.14700.5 엔진 보안 업데이트가 진행이 되었습니다. 일단 윈도우 디펜더는 기본적으로 윈도우 8 이후로 기본적으로 설치된 백신프로그램이면 백신프로그램 테스트에서도 좋은 성적도 보이고 있지만 때로는 나쁜 성적도 보이는 백신프로그램입니다. 일단 Windows Defender, Microsoft Security Essentials 및 여러 엔터프라이즈 별 맬웨어 방지 솔루션에 영향을 주는 새로운 보안 취약점이 보고되었습니다. CVE-2018-098이라고 불리는 취약점은 Microsoft 맬웨어 방지 엔진 원격 코드 실행 취약점입니다. Microsoft 맬웨어 방지 엔진의 취약점을 설명하며 공격자는 시스템에서 코드를 실행할 수 있는 취약점입니다.

해당 취약점을 악용할 때는 취약점을 악용할 때 Microsoft 보안 소프트웨어가 특수하게 조작된 파일을 검색함으로써 트리거 될 수 있다는 것입니다. 즉, 공격은 파일이 대상 시스템으로 가는 길을 찾으면 (예를 들어 다운로드를 통해) 사용자 상호 작용 없이 작동합니다. 해당 취약점은 Microsoft는 공격자가 악용할 수 있는 몇 가지 시나리오가 있습니다.

예를 들어 공격자는 웹 사이트를 사용하여 특수하게 조작된 파일을 사용자에게 제공하고 전자 메일 또는 메시징 프로그램에 첨부할 수 있으며 공격자가 처분할 수 있는 가장 쉬운 옵션 중 하나는 사용자가 웹 브라우저에서 사이트를 열 때 특수하게 조작된 JavaScript 파일을 통해 사용자 시스템을 공격을 감행할 수가 있는 문제입니다.

해당 Microsoft 맬웨어 방지 제품은 기본적으로 자동으로 파일을 검색하도록 구성되는데 공격이 수행된 파일은 실시간 보호가 활성화된 시스템에서 즉시 검사됩니다. Microsoft는 보안 문제를 해결하는 모든 영향을 받는 제품에 대한 업데이트를 배포했습니다. 일단 해당 엔진 버전이 1.1.14700.5 이상인 Windows 시스템은 취약점으로부터 보호됩니다. 일단 버전 확인 방법은 다음과 같습니다.

Windows 10: Windows 키+I를 사용하여 설정 응용 프로그램을 열고 업데이트 및 보안->Windows Defender로 이동하면 됩니다.
Windows 8.1: Windows 키를 눌러 시작 메뉴를 열어줍니다. Windows Defender를 입력하고 결과를 선택하십시오. 프로그램 창에서 도움말->정보를 선택하십시오.
Windows 7: 시작 메뉴를 클릭하여 열어줍니다. Windows Defender를 입력하고 결과를 낳으십시오. 도움말->정보를 선택하시면 됩니다.
일단 기본적으로 Windows Defender의 맬웨어 엔진 업데이트은 윈도우 자동업데이트를 통해서 업데이트를 할 수가 있습니다. 해당 취약점의 원인이 되는 파일은 mpengine.dll입니다.일단 타사 백신프로그램 및 비활성화된 Windows Defender 또는 기타 영향을 받는 Microsoft 보안 제품이 있는 시스템은 이 취약점의 영향을 받지 않습니다. 즉 사용자가 따로 백신프로그램을 설치하신 분들은 해당 취약점에 영향을 받지 않지만 윈도우 디펜더를 사용을 하시는 분들만 취약점에 적용됩니다.
먼저 해당 취약점이 적용되는 제품들은 다음과 같습니다.
Windows Defender
Microsoft Security Essentials
Microsoft Forefront Endpoint Protection 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Windows Intune Endpoint Protection
해당 취약점은 MMPE 구성 요소의 결함을 발견하여 공격자가 Windows 시스템에서 악성 코드를 실행할 수 있으며 MMPE 구성 요소는 시스템 권한으로 실행되므로 버그가 악용되면 공격자가 피해 시스템을 완전히 제어할 수 있습니다. 해당 취약점을 악용하려면 이 취약점을 악용하려면 영향을 받는 Microsoft 맬웨어 방지 엔진 버전에서 특수하게 조작된 파일을 검사해야 합니다. 공격자는 피해자가 접근하는 웹 사이트에서 제공되는 JavaScript 파일 내에 악의적인 코드를 호스트하거나 이메일 첨부 파일에 악성 코드를 추가하거나 인스턴트 메시징 클라이언트를 통해 피해자에게 boobytrapped 파일을 보낼 수가 있습니다.일단 해당 취약점은 48시간 이내에 갱신을 진행해야 합니다. 일단 해당 제품을 사용하시는 분들은 반드시 보안 업데이트를 통해서 해당 취약점을 제거해야 할 것입니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band