마이크로소프트, Windows 악성코드 스캐너의 치명적인 RCE 취약점 발견... 긴급 패치 발행해

마이크로소프트, Windows 악성코드 스캐너의 치명적인 RCE 취약점 발견... 긴급 패치 발행해

Microsoft Issues Emergency Patch For Critical RCE in Windows Malware Scanner

마이크로소프트의 자체 바이러스 백신 소프트웨어가 윈도우 7, 8.1, RT, 10, 서버 2016을 사용하는 컴퓨터를 더욱 위험하게 만든 것으로 확인되었습니다. 

구글 프로젝트 제로 연구원은 마이크로소프트의 자체 안티바이러스 엔진인 Microsoft Malware Protection Engine(MMPE)에 치명적인 RCE취약점(CVE-2017-0290)을 발견하였습니다. 제보된 RCE 취약점은 “웜” 기능과 함께 디폴트 설치 버전에서 발생합니다. 이 웜 기능은 자동으로 감염된 PC에서 자기 자신을 복제해 다른 PC로 배포합니다. 

영향을 받는 안티 멀웨어 소프트웨어 목록

마이크로소프트의 MMPE에 포함된 모든 안티 멀웨어 소프트웨어는 이 결점에 취약합니다.

Windows Defender

Windows Intune Endpoint Protection

Microsoft Security Essentials

Microsoft System Center Endpoint Protection

Microsoft Forefront Security for SharePoint

Microsoft Endpoint Protection

Microsoft Forefront Endpoint Protection

마이크로소프트의 Defender 보안 소프트웨어는 윈도우 7, 8.1, RT 8.1, 10, 서버 2016에서 디폴트로 활성화됩니다. 이 시스템들은 모두 완전한 원격 시스템 해킹 위험에 노출되어 있습니다. 

마이크로소프트의 멀웨어 보호 엔진에 존재하는 원격 코드 실행 결점

이 결점은 MMPE가 파일을 스캔하는 방식에 존재합니다. 공격자는 이를 통해 타겟 시스템에서 메모리 충돌을 일으키는 악성 파일을 만들 수 있습니다. 연구원들은 자바 스크립트처럼 보이는 모든 파일 시스템이나 네트워크 활동을 평가합니다. 이때, 자바스크립트 인풋의 유효성을 인증하는데 실패한 mp엔진의 컴포넌트인 NScript에 존재하는 이 취약점을 “type confusion” 취약점으로 분류했습니다. 

안티바이러스 프로그램들은 파일이 생성되거나, 열리거나, 복사되거나 다운로드되었을 때 자동으로 스캔하는 실시간 감시 기능이 기본적으로 활성화 되어 있습니다. 따라서 악성 파일이 다운로드되는 순간 이 익스플로잇이 트리거되어 타겟 컴퓨터를 감염시킬 수 있습니다.

이 취약점은 해커들이 이메일을 보내거나, 악성 파일을 배포하는 사이트로 피해자를 유혹하거나, 메시지를 보내는 등의 방법으로 악용이 가능합니다. 인젝션된 악성 페이로드는 상승된 LocalSystem 수준의 권한으로 실행되어 해커들이 타겟 시스템을 온전히 제어할 수 있습니다. 또한 스파이웨어를 설치하고, 중요 파일들 및 로그인 정보를 훔치는 등의 악성 행동을 할 수 있게 됩니다.

마이크로소프트는 이 문제에 매우 빠르게 대응하여 3일만에 패치를 공개했습니다. 사용자들은 윈도우 7, 8.1, RT 및 10용 윈도우 업데이트를 통해 패치를 내려받을 수 있습니다.

취약한 버전의 MMPE는 1.1.13701.0이며, 패치된 버전은 1.1.13704.0입니다.

윈도우 PC는 자동으로 엔진을 위한 최신 정의 및 업데이트를 설치합니다. 그렇기 때문에 사용자의 시스템은 1-2일 안에 자동으로 이 긴급 업데이트를 설치할 수 있으며,  ‘업데이트 체크’ 버튼을 클릭하여 지금 즉시 업데이트를 설치할 수 있습니다.

출처 :

http://thehackernews.com/2017/05/windows-defender-rce-flaw.html

https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5