최근 CyberArk Labs에서는 윈도우 10 및 8.1 운영체제에서 보안을 담당하는 윈도우 디펜더(Windows Defender)에서 악성코드가 우회할 수 있는 취약점이 있다고 주장했습니다.

 

하지만, MS는 실험실에서 구현가능할 정도로 낮은 가능성이 있어 낮은 등급의 취약성(low-risk threat)으로 간주했습니다.

 

 

윈도우 디펜더를 속이기 위해 공격자는 SMB 프로토콜을 이용하여 가상 서버를 생성하는 방식을 이용하는데, 이는 윈도우 디펜더가 정상적인 요청을 하는 형태와는 다른 형태라는 주장입니다.

 

즉, 파일을 검사하는 과정에서 실제 파일이 아닌 다른 파일로 대체하여 검사하게끔 속일 수 잇있다는 뜻으로, SMB 서버에 저장된 정상적인 파일인척 가장하여 악성코드를 실행할 수 있다는 말입니다.

 

 

공격자가 피싱을 목적으로 하는 APT 공격을 수행할 때 취약점이 결합되어 이용할 수 있다고 경고합니다.

 

CyberArk는 이 취약점을 "Illusion Gap"이라고 이름지어 MS에 제보하였으나, MS는 특정 환경에서 발생할 수 있는 문제이지, 자체적인 보안 이슈는 아니라는 답변을 했다고 합니다.

 

https://www.theregister.co.uk/2017/09/28/windows_defender_flaw/

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    최근 MS의 취약점으로 인해 부산함을 떨었던 적이 있습니다. 11월 11일 자로 새로운 보안 취약점이 발표되어 간단히 정리합니다.

    윈도우에서 취약점이 발견되었는데 크래커가 윈도우의 특정한 보안 기능을 우회하여 공격할 수 있다고 합니다. 이 취약점은 거의 모든 윈도우 버전에서 발견되었습니다.

    취약점은 NTLM 자격 증명을 처리할 때에 SMB(Server Message Block) 내에서 인증 오류를 일어나게 하는 방식으로 유발됩니다. 공격자는 자격 증명을 제공한 사용자의 권한을 그대로 사용하는 리플레이 공격(replay attack)을 할 수 있습니다.

    해결 방안은 패치를 적용하는 것으로 아래 링크를 참고하십시오.

    Windows 2000 SP4:
    http://www.microsoft.com/downloads/de...=44c971e6-96fc-4bba-8f4a-f9d46bda2b6c

    Windows XP SP2:
    http://www.microsoft.com/downloads/de...=6f8ae0aa-fd68-4156-9016-bba00149793c

    Windows XP SP3:
    http://www.microsoft.com/downloads/de...=6f8ae0aa-fd68-4156-9016-bba00149793c

    Windows XP Professional x64 Edition (optionally with SP2):
    http://www.microsoft.com/downloads/de...=9501b33b-d639-43e7-ad5a-9e76ed66effd

    Windows Server 2003 SP1/SP2:
    http://www.microsoft.com/downloads/de...=57a0606d-ea7a-4e5b-8b8b-7b77a444ef75

    Windows Server 2003 x64 Edition (optionally with SP2):
    http://www.microsoft.com/downloads/de...=915e001f-9aa0-4fb0-9c2a-0f0c72b4f056

    Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
    http://www.microsoft.com/downloads/de...=6abf7ba9-825f-4ee2-a2fe-6b1cd9fab622

    Windows Vista (optionally with SP1):
    http://www.microsoft.com/downloads/de...=5612815f-8685-45d2-af4a-164c298a0869

    Windows Vista x64 Edition (optionally with SP1):
    http://www.microsoft.com/downloads/de...=727ce9b6-827f-4350-b4ff-c08e8ac541a6

    Windows Server 2008 for 32-bit Systems:
    http://www.microsoft.com/downloads/de...=b305e894-61ec-46b4-91ee-4c9ac59bc47e

    Windows Server 2008 for x64-based Systems:
    http://www.microsoft.com/downloads/de...=e8d26dfd-b347-4f10-b5b6-27dfff5e4f47

    Windows Server 2008 for Itanium-based Systems:
    http://www.microsoft.com/downloads/de...=d565467d-e10f-4ddc-a278-3f81a3798686


    원문 : MS08-068 (KB957097):
    http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory