2024-03-28 17:30 (목)
윈도우 디펜더, 여전히 원격코드 실행 제로데이 취약점 존재해
상태바
윈도우 디펜더, 여전히 원격코드 실행 제로데이 취약점 존재해
  • 길민권 기자
  • 승인 2017.06.16 15:53
이 기사를 공유합니다

제로콘2017 발표자 James Lee “멀웨어 방지 엔진 ‘MsMpEng’ 여전히 취약해”

ms-2.jpg
최근 윈도우 디펜더(Windows Defender)를 수정하기 위해 설계된 패치에도 불구하고, 보안 연구원 James Lee는 아직 수행해야 할 작업이 더 있다고 말한다.

제로콘(Zer0Con)2017에서 발표한 James Lee는 Windows Defender 및 기타 보안제품에서 사용되는 마이크로소프트 멀웨어 방지 엔진 ‘MsMpEng’가 여전히 원격 코드 실행의 대상이 되고 있다고 말했다.

얼마전 구글 프로젝트 제로(Google Project Zero)의 Tavis Ormandy와 그의 동료 Mateusz Jurczyk가 트위터를 통해 공개한 취약점과 마찬가지로 James Lee가 공개한 버그들은 충분하지 않은 샌드박싱(Sandboxing) 때문에 발생했다. 그는 모든 세부 정보를 공개하지는 않았지만, 두가지 원격 코드 실행 PoC를 증명하는 동영상 2개를 유투브에 게시했다. 그의 작업은 시스템이 완전히 패치되었음에도 크래쉬가 발생하고 재시작이 불가능한 상황을 보여준다.

이번 발견이 프로젝트 제로의 최근 취약점 공개에 대한 MS의 패치와는 관련이 없다고 말했다.

그가 발견한 버그는 'logical RCE 버그'다. 

5월 초 이후에 MsMpEng의 샌드박싱 부족은 보안 연구원들로부터 많은 비판을 받고 있다. 어제 또다른 샌드박스 이스케이프가 Thomas Vanhoutte에 의해 깃허브에 공개되었다. Vanhoutte에 의하면, 해당 샌드박스 이스케이프를 통해 게스트 권한의 공격자가 Defender를 사용해 DLL 등의 임의 파일을 삭제할 수 있다고 말한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★