최근 CyberArk Labs에서는 윈도우 10 및 8.1 운영체제에서 보안을 담당하는 윈도우 디펜더(Windows Defender)에서 악성코드가 우회할 수 있는 취약점이 있다고 주장했습니다.

 

하지만, MS는 실험실에서 구현가능할 정도로 낮은 가능성이 있어 낮은 등급의 취약성(low-risk threat)으로 간주했습니다.

 

 

윈도우 디펜더를 속이기 위해 공격자는 SMB 프로토콜을 이용하여 가상 서버를 생성하는 방식을 이용하는데, 이는 윈도우 디펜더가 정상적인 요청을 하는 형태와는 다른 형태라는 주장입니다.

 

즉, 파일을 검사하는 과정에서 실제 파일이 아닌 다른 파일로 대체하여 검사하게끔 속일 수 잇있다는 뜻으로, SMB 서버에 저장된 정상적인 파일인척 가장하여 악성코드를 실행할 수 있다는 말입니다.

 

 

공격자가 피싱을 목적으로 하는 APT 공격을 수행할 때 취약점이 결합되어 이용할 수 있다고 경고합니다.

 

CyberArk는 이 취약점을 "Illusion Gap"이라고 이름지어 MS에 제보하였으나, MS는 특정 환경에서 발생할 수 있는 문제이지, 자체적인 보안 이슈는 아니라는 답변을 했다고 합니다.

 

https://www.theregister.co.uk/2017/09/28/windows_defender_flaw/

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    윈도우 7과 윈도우 2008 R2 서버 제품의 서비스팩이 출시되어 OEM 파트너에게 RTM 패키지로 전달되었습니다. 그리고 2월 16일 경에는 MSDN 및 테크넷에 이미지가 업로드될 예정이라고 합니다. 그리고 실제로 마이크로소프트 다운로드 센터나 윈도우 업데이트 사이트에서는 2월 22일 경부터 다운로드받을 수 있을 것이라고 합니다.

    서비스팩 1에 대한 보다 자세한 사항은 아래 링크를 참고하십시오.

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근에 윈도우 7 운영 체제 환경에서 Avira 백신을 사용하는 경우에 문제점이 발견된 것으로 알려지고 있습니다. 윈도우를 재부팅하게 되면 자동으로 디스크를 검사(chkdsk)하게 되는데 이 부분에서 문제점이 발생한다고 하며, 아비라 사의 개발자들이 이러한 문제점을 재현했다고 합니다.

      아비라는 마이크로소프트에 문제점을 알렸으며, 아비라 백신 제품 뿐만 아니라 다른 백신 제품에서도 이러한 문제점이 나타날 수 있는 것으로 조사 결과 나타났습니다.

      아비라는 이 문제점을 우회할 수 있는 방법을 발견했으며, v9.0.3.17 빌드에서 패치될 예정이라고 합니다.

      보다 자세한 사항은 아래 링크를 참고하십시오.

      http://techblog.avira.com/2009/11/26/chkdsk-in-windows-7/en/
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        윈도우 서버 시리즈에는 기능적인 분류에 따라 서너가지 이상의 에디션이 제공됩니다.

        최근에 출시한 윈도우 2008 서버에서는 유닉스(리눅스) 환경과 유사한 서버 코어 에디션 제품이 제공됩니다. 서버 코어 에디션은 윈도우 운영체제의 핵심적인 파일만을 로드하고 서버 관리자에게 제공한 그래픽 유저 인터페이스(GUI)를 제외함으로써 잠재적으로 발생가능한 위험을 줄이기 위한 최소화된 에디션입니다.

        따라서, GUI가 아닌 콘솔(키보드, 마우스, 화면)로만 서버를 관리하며 무인 설치를 위한 환경 설정 파일을 미리 작성한 후에 이를 사용하여 서버의 기능을 추가하거나 변경할 수 있습니다.



        특히 서버 코어는 웹 서버와 같이 단일화된 기능을 제공하는 수십 수백대의 서버를 관리하는데 가장 효과적인 방법을 제공합니다.

        하지만, 서버 코어에서는 기존에 사용하던 일반적인 프로그램들을 적용할 수 없다는 단점이 존재합니다. 물론, 현재에서는 제공되지 않지만 개발을 통해 차후에는 서버 코어에서 동작할 수 있는 제품이 나올 수는 있다고 보여집니다.

        따라서, 현재 서버 코어 에디션을 설치한 서버 컴퓨터에서 사용가능한 서비스는 다음과 같습니다.

        • DHCP 서비스
        • DNS 서비스
        • 파일 공유 서비스 - FRS(File Replication Service), DFS(Distributed File System), DFSR(Distributed File System Replication), 네트워크 파일시스템, SIS(Single Instance Storage)
        • 프린트 서비스
        • 디렉터리 서비스(읽기 전용 DC 포함)
        • AD LDS(Active Directory Lightweight Directory Service)
        • 윈도우 가상화 서비스(Windows Server Vitualization)
        • IIS - 정적인 HTML 만 가능, 동적인 웹 프로그램을 지원하지 않음.
        • WMS(Windows Media Services)

        그 외 서버 코어는 MS 클러스터의 내부 노드로 참여할 수 있으며 네트워크 로드 밸런싱을 사용하고 유닉스 프로그램을 호스트하고 비트로커(Bitlock)를 통해 드라이브를 암호화할 수 있습니다. 또한, 스크립트 언어인 윈도우 파워셀(Windows PowerShell)을 통해 원격에서 관리가 가능합니다. 서버의 모니터링을 위해 SNMP 프토콜을 지원합니다.

        서버 코어에 대한 자세한 사항은 MS가 발간한 "Windows Server 2008 Server Core" 도서를 참고하십시오.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory