Windows 10 Defender 바이러스 백신의 버그가 12년 동안 수정되지 않았습니다.
Microsoft는 어제 화요일 2월 패치를 발표하여 Windows 10의 수많은 취약점을 수정했습니다. 그 중에는 컴퓨터에서 원격 코드를 실행하고 블루 스크린을 생성할 수 있는 몇 가지 제로 데이 취약점이 있었습니다. 또한 그들은 적어도 12년 동안 운영 체제에 존재했던 또 다른 패치를 패치했습니다.
이것은 Microsoft가 어제 패치한 후 사이버 보안 회사 SentinelOne에 의해 발표되었으며, 더 안심하고 그 존재를 공유할 수 있고 사용 가능한 솔루션이 있다는 것을 알고 있습니다. 그러나 업데이트가 더 많은 사용자에게 도달할 수 있도록 더 많은 시간을 주기 위해 많은 기술적 세부 정보를 제공하지 않았습니다.
Windows Defender는 버그의 영향을 받았으며 패치 없이 12년이 지났습니다.
이 버그는 운영 체제에서 가장 민감한 요소 중 하나인 Windows Defender에 있었습니다. 특히 이 결함은 바이러스 백신이 컴퓨터를 통해 퍼뜨리기 위해 생성할 수 있는 침입 파일 및 인프라를 제거하는 데 사용되는 드라이버에 영향을 미치며 이것이 바이러스 백신 작동 방식의 기본 기능입니다. 드라이버가 악성 파일을 삭제하면 악성 파일을 제거하면서 무해한 파일로 교체합니다. 그러나 연구원들은 Windows Defender가 생성된 새 파일을 확인하지 않았기 때문에 공격자가 잘못된 파일을 덮어쓰거나 악성 코드를 실행할 수 있는 방식으로 드라이버를 수정할 수 있음을 깨달았습니다.
Windows Defender는 기본적으로 시스템에 포함되어 있기 때문에 전 세계적으로 Windows 10 바이러스 백신과 같은 수억 명의 사람들이 사용하고 있습니다. 따라서 Microsoft 자체에서 서명한 드라이버 또는 드라이버의 결함은 운영 체제에서는 실제로는 그렇지 않은데도 합법적이고 안전한 것처럼 보일 수 있으므로 위험합니다. 드라이버는 권한 상승을 허용하므로 소프트웨어 또는 데이터를 제거하고 해당 코드를 실행하여 시스템을 완전히 제어하도록 수정할 수 있습니다.
Windows Vista 사용자도 영향을 받습니다.
이 결함은 11월 중순에 Microsoft에 보고되었으며 이번 주에 마침내 패치를 릴리스했습니다. 이 취약점은 고위험으로 간주되었으며 컴퓨터에 원격 또는 물리적으로 액세스할 수 있는 공격자만 악용할 수 있었습니다. 따라서 이를 악용하려면 다른 취약점과 결합해야 합니다.
SentinelOne과 Microsoft에 따르면 이 취약점이 공격자에 의해 악용되었다는 증거는 없습니다. 하지만 12년이라는 시간은 긴 시간이고, 이제 Windows 7 사용자가 노출된다는 의미이기 때문에 알기 어렵습니다. 또한 연구원들은 취약점이 더 오래 존재했을 수 있다고 주장하지만 그들의 연구는 2009년으로 제한되었으며 이는 그들이 사용한 VirusTotal 안티바이러스 데이터베이스만큼 거슬러 올라갑니다.
SentinelOne은 영향을 받는 드라이버가 컴퓨터에 항상 저장되어 있지 않기 때문에 결함을 발견하는 데 너무 오랜 시간이 걸렸다고 생각합니다. 대신 “동적 연결 라이브러리”라는 시스템을 사용하여 필요할 때만 드라이버를 로드하고 나중에 제거합니다. 또한 그들은 이러한 유형의 결함이 다른 바이러스 백신 소프트웨어에 있을 수 있다고 주장하므로 다른 회사에서 이러한 취약점이 있는지 소프트웨어를 확인하도록 권장합니다.