최근 CyberArk Labs에서는 윈도우 10 및 8.1 운영체제에서 보안을 담당하는 윈도우 디펜더(Windows Defender)에서 악성코드가 우회할 수 있는 취약점이 있다고 주장했습니다.

 

하지만, MS는 실험실에서 구현가능할 정도로 낮은 가능성이 있어 낮은 등급의 취약성(low-risk threat)으로 간주했습니다.

 

 

윈도우 디펜더를 속이기 위해 공격자는 SMB 프로토콜을 이용하여 가상 서버를 생성하는 방식을 이용하는데, 이는 윈도우 디펜더가 정상적인 요청을 하는 형태와는 다른 형태라는 주장입니다.

 

즉, 파일을 검사하는 과정에서 실제 파일이 아닌 다른 파일로 대체하여 검사하게끔 속일 수 잇있다는 뜻으로, SMB 서버에 저장된 정상적인 파일인척 가장하여 악성코드를 실행할 수 있다는 말입니다.

 

 

공격자가 피싱을 목적으로 하는 APT 공격을 수행할 때 취약점이 결합되어 이용할 수 있다고 경고합니다.

 

CyberArk는 이 취약점을 "Illusion Gap"이라고 이름지어 MS에 제보하였으나, MS는 특정 환경에서 발생할 수 있는 문제이지, 자체적인 보안 이슈는 아니라는 답변을 했다고 합니다.

 

https://www.theregister.co.uk/2017/09/28/windows_defender_flaw/

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory