Microsoft Windows Defender에는 맬웨어가 감지되지 않고 빠져나갈 수 있는 버그가 있습니다.

공격자는 Microsoft Defender 바이러스 백신 기능의 약점을 이용하여 Windows Defender가 검사에서 제외하는 위치에 맬웨어를 설치할 수 있습니다.

이 문제는 최근에야 확인되어 Windows 10 21H1 및 Windows 10 21H2에 영향을 미쳤지만 적어도 8년 동안 존재해 왔습니다.

위치 추가

Microsoft Defender는 중요한 정보가 포함된 영역이 바이러스 백신 검사에 의해 실수로 손상되지 않도록 검사에서 컴퓨터의 특정 위치를 제외할 수 있습니다.

여러 가지 이유로 바이러스 백신 프로그램이 맬웨어로 잘못 식별하여 격리하거나 컴퓨터 액세스를 차단하는 합법적인 소프트웨어 응용 프로그램이 많이 있습니다.

사용자가 예외 목록에 사용자 이름을 포함하면 공격자가 시스템에 대한 유용한 정보. 이를 통해 일상적인 검사 중에 검색되지 않는 컴퓨터 영역에 악성 파일을 저장할 수 있습니다.

보안 연구원은 Microsoft의 Defender 보안 소프트웨어가 위험한 위치 목록을 검색에서 제외하지만 모든 로컬 사용자가 액세스할 수 있음을 발견했습니다.

손상된 보장

Windows Defender가 레지스트리에서 맬웨어와 위험한 파일을 확인할 수 있지만 로컬 사용자는 레지스트리를 쿼리하여 Defender가 확인할 수 없는 경로를 결정할 수 있습니다.

RemotePotato0 취약점을 발견한 위협 연구원인 Antonio Cocomazzi는 이 정보에 대한 보안이 없다고 말합니다.

Microsoft Defender가 모든 것을 검사하지는 않지만 "reg query" 명령은 파일, 폴더, 확장 프로그램 및 프로세스를 포함하여 프로그램이 검사하지 않도록 지시한 내용을 보여줍니다.

또 다른 Windows 보안 전문가인 Nathan McNulty는 이 문제가 Windows 10 버전 21H1 및 21H2에만 존재하지만 Windows 11에는 영향을 미치지 않는다고 말했습니다.

그룹 정책 설정

그룹 정책 설정을 가져오는 또 다른 방법은 레지스트리에서 제외 목록을 가져오는 것입니다. 이 정보는 제외되는 항목에 대한 세부 정보를 제공하며 특정 컴퓨터에서 활성화된 설정을 단순히 나열하는 것보다 더 중요합니다.

Microsoft는 다음에서 자동 제외를 비활성화할 것을 권장합니다. 마이크로소프트 디펜더 서버 플랫폼이 Microsoft 스택 전용이 아닌 경우 McNulty는 말합니다. 서버에서 타사 소프트웨어를 실행 중인 경우 Defender가 임의의 위치를 ​​검색하도록 허용해야 합니다.

Microsoft Defender 제외 목록은 로컬 액세스 권한이 있는 공격자가 얻을 수 있지만 극복해야 하는 작은 과제입니다.

기업 네트워크가 이미 손상된 경우 공격자는 눈에 띄지 않는 도구를 사용하여 이동할 방법을 찾는 경우가 많습니다.

전체 검사

Microsoft Defender는 특정 폴더를 제외하여 바이러스 백신이 해당 위치에 있는 파일을 검색하지 못하도록 합니다. 그런 다음 맬웨어 작성자는 발견되지 않고 해당 폴더에서 감염된 파일을 저장하고 실행할 수 있습니다.

선임 보안 컨설턴트는 약 8년 전에 이 문제를 처음 발견했고 악의적인 사용 가능성을 즉시 이해했다고 말했습니다.

“내가 일종의 맬웨어 개발자라면 WD 제외를 찾아보고 제외된 폴더에 내 페이로드를 드롭하거나 제외된 파일 이름 또는 확장명과 동일한 이름을 지정합니다."라고 설명했습니다. 영기.

Microsoft 환경의 네트워크 관리자인 경우 Microsoft 설명서를 참조하십시오. 모든 서버 및 로컬에서 검사 및 실행에서 Defender 프로그램을 제외하는 방법에 대한 정보 기계.

해커에게 Microsoft Defender를 우회할 수 있는 기회를 제공하는 허점에 대한 주요 우려 사항은 무엇입니까? 아래 의견 섹션에서 의견을 공유하십시오.