2022-02-11 Fri

Created: February 11, 2022 10:10 AM

1. Windows Defender 검사 우회 취약점 패치

Reference: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/

최신 Windows10 버전에 영향을 미치는(최소 2014년부터 악용가능했던) 공격자가 Defender의 탐지 엔진을 우회하여 악성코드를 심고 실행할 수 있는 취약점이 패치되었다.

HKLM\Software\Microsoft\Windows Defender\Exclusions 레지스트리키는 Microsoft Defender 검사에서 제외할 위치(파일, 폴더, 확장자, 프로세스 등)를 포함하는데, 이 레지스트리키에 대한 느슨한 보안 설정으로 인해 발생한다.

해당 레지스트리키에는 권한에 관계없이 Everyone 그룹에서 접근할 수 있기에, 로컬 사용자가 cmd에서 Windows Registry 쿼리를 하여 접근할 수 있다.

Accessing Defender exclusions (BleepingComputer)

위와 같이 접근이 가능하면 Windows 도메인의 여러 컴퓨터에 대한 예외 처리된 위치를 알 수 있기 때문에 해당 정보를 악용하여 악성 페이로드를 Defender 탐지 없이 실행할 수 있다.

2022년 2월 화요일 패치를 통해 Windows10 20H2 에서 더이상 해당 취약점을 이용할 수 없다. 업데이트 이후에는 HKLM\Software\Microsoft\Windows Defender\Exclusions 레지스트리에서 Everyone 권한이 삭제된 것을 확인할 수 있다.