이 문제는 최근에야 발견되었으며 Windows 10 21H1 및 Windows 10 21H2에 영향을 미치지만 적어도 8년 동안 존재해 왔습니다.
위치 추가
Microsoft Defender는 컴퓨터의 특정 영역을 검색에서 제외하여 중요한 정보가 포함된 영역이 바이러스 백신 검색에 의해 실수로 손상되지 않도록 할 수 있습니다.
여러 가지 이유로 안티바이러스 프로그램에 의해 맬웨어로 잘못 식별되어 컴퓨터에 대한 액세스를 격리하거나 차단하는 합법적인 소프트웨어 응용 프로그램이 많이 있습니다.
사용자가 제외 목록에 사용자 이름을 포함하면 공격자에게 시스템에 대한 유용한 정보를 제공할 수 있습니다 . 이렇게 하면 정기적인 검사 중에 검사되지 않는 컴퓨터 영역에 악성 파일을 저장할 수 있습니다.
보안 연구원은 Microsoft Defender 소프트웨어가 위험한 위치 목록을 검색에서 제외하지만 모든 로컬 사용자가 액세스할 수 있음을 발견했습니다.
손상된 보장
Windows Defender는 레지스트리에서 맬웨어 및 위험한 파일을 검색할 수 있지만 로컬 사용자는 레지스트리를 쿼리하여 Defender에서 검색할 수 없는 경로를 확인할 수 있습니다.
RemotePotato0 취약점을 발견한 것으로 알려진 위협 연구원인 Antonio Cocomazzi는 이 정보가 안전하지 않다고 말합니다.
Microsoft Defender가 모든 것을 검사하지는 않지만 “reg query” 명령은 프로그램이 파일, 폴더, 확장 및 프로세스를 포함하여 검사하지 말라고 지시함을 보여줍니다.
또 다른 Windows 보안 전문가인 Nathan McNulty는 이 문제가 Windows 10 버전 21H1 및 21H2에만 존재하지만 Windows 11에는 영향을 미치지 않는다고 말했습니다.
그룹 정책 설정
그룹 정책 설정을 가져오는 또 다른 방법은 레지스트리에서 예외 목록을 가져오는 것입니다. 이 정보는 제외된 항목에 대한 자세한 정보를 제공하며 특정 컴퓨터의 활성 설정을 나열하는 것보다 더 중요합니다.
McNulty에 따르면 Microsoft는 서버 플랫폼이 Microsoft 스택 전용이 아닌 경우 Microsoft Defender에서 자동 제외를 비활성화할 것을 권장합니다. 서버에 타사 소프트웨어가 설치된 경우 Defender가 임의의 위치를 검색하도록 허용해야 합니다.
로컬 액세스 권한이 있는 공격자가 Microsoft Defender 제외 목록을 얻을 수 있지만 이 문제를 해결하는 것은 어렵지 않습니다.
기업 네트워크가 이미 손상된 경우 공격자는 종종 눈에 잘 띄지 않는 도구를 사용하여 이를 우회할 방법을 찾습니다.
전체 검사
Microsoft Defender를 사용하면 바이러스 백신이 해당 위치의 파일을 검색하지 않도록 특정 폴더를 제외할 수 있습니다. 그런 다음 맬웨어 작성자는 눈치채지 않고 이러한 폴더에서 감염된 파일을 저장하고 실행할 수 있습니다.
선임 보안 컨설턴트는 약 8년 전에 문제를 처음 발견했고 악의적인 사용의 가능성을 즉시 인식했다고 말했습니다.
“내가 일종의 맬웨어 개발자라면 WD 예외를 확인하고 페이로드를 제외된 폴더에 넣거나 제외된 파일의 이름 또는 확장명과 동일한 이름을 지정해야 한다고 항상 스스로에게 말했습니다.” 아우라를 설명했다.
Microsoft 환경의 네트워크 관리자인 경우 모든 서버와 로컬 컴퓨터에서 Defender가 검색 및 실행되지 않도록 제외하는 방법에 대한 정보는 Microsoft 설명서를 참조하십시오.
해커가 Microsoft Defender를 우회할 수 있게 하는 허점에 대해 가장 걱정되는 점은 무엇입니까? 아래 의견 섹션에서 의견을 공유하십시오.
답글 남기기