윈도 디펜더, MSE 등에 크리티컬 등급의 보안 취약점 존재해

Microsoft Fixes Malware Protection Engine Bug Discovered by British Intelligence

(이미지 출처 : https://www.bleepingcomputer.com/news/security/microsoft-fixes-malware-protection-engine-bug-discovered-by-british-intelligence/ )

마이크로소프트가 영국 정보당국에서 발견한 MMPE의 취약점을 패치함

이번 주 수요일, 마이크로소프트(MS)에서는 마이크로소프트 멀웨어 프로텍션 엔진(MMPE)으로 보안 검사를 하는 모든 윈도 제품을 대상으로 업데이트를 발표하였습니다. 이 업데이트는 영국의 정보당국인 GCHQ 산하 국가 사이버 보안 센터(NCSC)가 발견한 매우 심각한 보안 취약점을 해결하는 업데이트입니다.

마이크로소프트 멀웨어 프로텍션 엔진(MMPE)은 윈도 디펜더, 마이크로소프트 시큐리티 에센셜(MSE), 마이크로소프트 엔드포인트 프로텍션, 윈도 인튠 엔드포인트 프로텍션 등 윈도7 이후의 모든 윈도 제품에서 지원되는 백신의 엔진입니다.

원격 코드 실행을 할 수 있는 MMPE의 크리티컬(Critical) 등급 취약점

마이크로소프트는 이 보안 취약점을 CVE-2017-11937라고 이름 지었으며, 취약한 제품에서는 원격 코드 실행을 할 수 있기 때문에 가장 높은 등급인 크리티컬(Critical) 등급을 부여하였습니다.

마이크로소프트 멀웨어 프로텍션 엔진(MMPE)에는 특별히 제작된 파일을 제대로 검사하지 못하고 메모리 충돌을 일으키는 원격 코드 실행 취약점이 존재합니다. 이 취약점을 성공적으로(?) 악용한 공격자는 로컬 시스템 계정의 보안 컨텍스트에서 임의의 코드를 실행할 수 있으며, 시스템을 장악할 수 있습니다. 그 결과 공격자는 프로그램들을 설치할 수 있고, 데이터를 보거나 바꾸거나 지울 수도 있습니다. 또는 완전한 유저 권한(즉, 관리자 권한)을 가진 새로운 계정을 생성할 수도 있습니다.

이 취약점을 악용하기 위해서는, 공격자는 먼저 비정상적인 기형 파일을 만들어야 합니다. 그리고 이메일을 통해서나, 인스턴트 메시지에 포함시키거나, 사용자들이 웹사이트에 접속할 때의 웹사이트 코드의 하나로 만들어 원격의 컴퓨터에게 보내면 됩니다. 또는, 윈도 디펜더 등의 엔진에 의해서 기본적으로 검사되는 장소에 이 파일을 그냥 두기만 해도 됩니다.

MMPE가 버전 1.1.14405.2로 패치됨, 윈도 업데이트 필수!

마이크로소프트에서는 이 취약점을 해결하고자 마이크로소프트 멀웨어 프로텍션 엔진(MMPE)의 버전을 1.1.14405.2로 업데이트하였습니다.

한 가지 좋은 소식은 마이크로소프트가 이 구성 요소에 대하여 지금까지 알아서 업데이트되도록 구성했다는 것입니다. 따라서 대부분의 사용자들이 이미 이 업데이트를 조용히 받아 갔을 것으로 예상됩니다. 그러나 레지스트리 조작이나 그룹 정책 등을 이용하여 '윈도 업데이트'를 막아버린 사용자는 당연하게도 이 취약점에 노출되어 있으며, 윈도 디펜더(Windows Defender)가 아니라 윈도 어태커(Windows Attacker)가 될 수 있는 매우 심각한 보안 위협을 몸소 체험하고(?) 있을지도 모릅니다.

(바이러스나 해킹을 막으라고 했더니, 오히려 바이러스나 해킹을 눈 감아 주게 되는 꼴이 됩니다.)

따라서 윈도 업데이트를 막은 사용자는 윈도 디펜더의 업데이트를 담당하는 '윈도 업데이트'를 원래의 상태로 되돌려야 윈도 디펜더를 정상적으로 사용할 수 있으며, 이번 취약점에 따른 보안 패치도 받을 수 있게 됩니다.

참고로 윈도 디펜더, MSE 등이 아닌 다른 보안 업체의 공인된 백신을 쓰는 사용자에게는 해당 사항이 없습니다.

<원문 및 출처>

https://www.bleepingcomputer.com/news/security/microsoft-fixes-malware-protection-engine-bug-discovered-by-british-intelligence/