마이크로소프트, 윈도우 디펜더에서 12년 된 권한 상승 취약점 해결

2021년 2월, Microsoft는 Microsoft Defender Antivirus (이전 Windows Defender)에서 위협 행위자가 취약한 호스트에서 관리자 권한을 얻고 사전 설치된 보안 제품을 비활성화할 수 있는 권한 상승 버그를 패치했습니다. 이 문제를 밝혀낸 SentinelOne 전문가들은 보고합니다 이 결함은 2009년에 도입되었으며 12년 이상 공개되지 않았다고 합니다.

Windows Defender 취약점 설명

문제(CVE-2021-24092)는 BTR.sys 드라이버와 관련된 잘못된 구성에서 비롯되며, 이는 감염된 기계에서 악성 소프트웨어와 관련된 파일 시스템 및 레지스트리 자원을 삭제하는 데 사용됩니다. 드라이버에 확인 링크가 없으므로, 공격자들은 임의 파일을 덮어쓰는 악성 파일을 생성할 수 있습니다. 결과적으로, CVE-2021-24092는 사용자 상호작용 없이 다양한 침입에 의해 현지의 권한 없는 해커에 의해 악용될 수 있습니다.

보안 분석가들은 드라이버가 일반적으로 하드 드라이브에 존재하지 않고 필요할 때만 활성화되기 때문에 이 취약점이 수년 동안 공개되지 않았다고 가정합니다. 오래 전에 Windows Defender에 이 결함이 도입되었음에도 불구하고 야생에서 악용된 흔적은 없습니다. 그럼에도 불구하고 연구원들은 공공 공개 후 패치되지 않은 사용자들에 대해 이 보안 구멍을 이용하려 할 것이라고 믿습니다.

CVE-2021-24092: 탐지 및 완화

SentinelOne은 2020년 11월 Microsoft 보안 응답 센터에 이 취약점을 보고했고, 공급업체는 2021년 2월 9일 릴리스로 이를 패치했습니다. 이 버그에 영향을 받는 Microsoft Malware Protection Engine의 마지막 버전은 1.1.17700.4입니다. 이 문제가 해결된 첫 번째 버전은 1.1.17800.5입니다. 패치는 Microsoft Malware Protection Engine 버전 1.1.17800.5의 릴리스와 함께 도입되었으므로 이 버전(또는 이후)이 설치된 경우 보호됩니다.

주목할 만한 점은 CVE-2021-24092의 패치는 영향을 받는 Windows Defender 버전을 지원하는 모든 호스트에 자동으로 설치된다는 것입니다. 자동 업그레이드를 진행하려면 Windows Defender 업데이트가 활성화되어 있는지 확인하십시오. 그렇지 않은 경우 즉시 완화를 위해 수동으로 수정 프로그램을 적용할 수 있습니다.

CVE-2021-24092와 관련된 악성 활동을 식별하려면 SOC Prime에서 전용 Sigma 규칙을 다운로드할 수 있습니다:

https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/

이 규칙은 다음 플랫폼으로 번역되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Microsoft Defender ATP, Carbon Black, SentinelOne

MITRE ATT&CK:

전술: 권한 상승

기술: 권한 상승을 위한 악용 (T1068)

유료 액세스가 없는 경우, 커뮤니티 구독 아래에서 무료 평가판을 활성화하여 이 Sigma 규칙을 잠금 해제할 수 있습니다.

최신 위협에 대한 가장 관련성 있는 탐지를 얻기 위해 우리 블로그를 계속 주목하세요. CVE-2021-24092와 관련된 추가 규칙이 이 기사에 추가될 것입니다.

Threat Detection Marketplace에 가입하세요, 보안 수행자가 대량 데이터, 로그 및 클라우드 원격 측정을 사이버 보안 신호로 변환하는 동안 감지, 풍부화, 통합 및 자동화 알고리즘을 지원하는 세계적인 콘텐츠-서비스-플랫폼(CaaS)입니다. SIEM, EDR, NSM, SOAR 도구 중 원하는 곳으로 선별된 SOC 콘텐츠를 직접 스트리밍할 수 있어 위협 탐지 기능을 강화할 수 있습니다. 자체 Sigma 규칙을 작성하고 글로벌 위협 사냥 커뮤니티를 지원하고 싶으신가요? 우리의 Threat Bounty Program에 참여하세요!