Windows는 여전히 세계에서 가장 인기 있는 운영 체제 중 하나입니다. 전 세계 수십억 대의 컴퓨터에 전원을 공급합니다. Windows는 컴퓨팅의 대명사가 되었습니다. 마이크로소프트와 윈도우즈의 우위는 그들을 끊임없는 표적으로 만든다. 그리고 Windows 10은 가장 안전한 운영 체제이지만 여전히 많은 취약점이 있습니다.
취약점도 작지 않습니다. DoubleAgent 공격은 각 Windows 버전을 가로채고 프로세스에서 바이러스 백신 프로그램을 비활성화할 수 있습니다. 또한 Microsoft Edge는 해커의 대규모 표적입니다. Internet Explorer와 같은 수준은 아니지만 -- 그건 터무니없는 일이지만 -- 그럼에도 불구하고 걱정스러운 수준입니다.
Microsoft 제품은 여전히 정기적으로 악용되고 있습니다. Windows 10의 보안을 강화했지만 여전히 주요 목표입니다. 무슨 일이 일어나고 왜 일어났는지 생각해 봅시다.
더블 에이전트
2017년 3월에는 Cybellum의 보안 연구원이 새로운 Windows 제로데이 익스플로잇의 발견을 발표했습니다. 이스라엘 연구팀은 DoubleAgent라는 이름의 공격이 "바이러스 백신에 대한 통제권을 직접 공격하고 하이재킹"할 수 있음을 확인했습니다. DoubleAgent는 XP에서 Windows 10까지 모든 버전의 Windows에서 볼 수 있는 비교적 알려지지 않은 기능을 이용합니다.
DoubleAgent는 응용 프로그램의 버그를 발견하고 수정하는 데 사용되는 런타임 확인 도구인 Microsoft 응용 프로그램 뷰어를 활용합니다. 연구원들은 공격자가 표준 검증자를 사용자 정의 검증자로 대체할 수 있는 문서화되지 않은 능력을 발견했습니다. 사용자 지정 검증기가 배치되면 공격자는 "모든 DLL을 모든 프로세스에 주입"할 수 있습니다. 이것은 "피해자의 프로세스 부팅 중 극히 초기에 발생하여 공격자가 프로세스를 완전히 제어할 수 있고 프로세스가 스스로를 보호할 수 있는 방법이 없습니다."
애플리케이션 뷰어는 버그를 확인하고 수정하여 애플리케이션 보안을 강화하도록 설계되었습니다. 아이러니하게도 그 반대의 작업을 수행하여 그 과정에서 DoubleAgent 이름을 얻습니다.
귀하에게 안티바이러스 사용
바이러스 백신을 제어할 수 있는 공격은 중요합니다. 바이러스 백신 및 맬웨어 방지 소프트웨어를 비활성화하는 공격은 일반적이지만 상황을 완전히 뒤집는 것은 놀라운 일입니다. DoubleAgent를 사용하여 악의적인 행위자는 다음을 수행할 수 있습니다.
- 바이러스 백신을 맬웨어로 전환 -- 바이러스 백신 소프트웨어는 컴퓨터의 권한 있는 위치에서 작동합니다. 매우 신뢰할 수 있는 작업이므로 바이러스 백신은 모든 것을 보고 무엇이든 할 수 있습니다. 따라서 모든 악의적인 활동은 합법적인 것으로 간주되며 공격자는 모든 보안을 우회할 수 있습니다.
- 바이러스 백신 동작 수정 -- 공격자는 화이트리스트, 블랙리스트 변경, 포트 개방, 방화벽 변경 등을 자유롭게 할 수 있습니다. 바이러스 백신을 비활성화하면 백도어를 쉽게 설치할 수 있습니다.
- 파괴 -- 악의적인 행위자는 공격의 원인에 따라 단순히 시스템을 파괴할 수 있습니다. 특정 작업을 중지하는 바이러스 백신이 없으면 로컬 저장소가 암호화되거나 포맷될 수 있습니다.
또한 바이러스 백신을 통해 전체 시스템에 제한 없이 액세스하면 개인 및/또는 민감한 데이터가 도난당할 수 있습니다.
지금 무엇을?
Cybellum은 DoubleAgent를 방어할 수 있는 유일한 바이러스 백신 제품은 Windows Defender라고 주장합니다. Windows Defender는 이러한 유형의 공격을 완화하도록 특별히 설계된 커널 수준 보호 기술인 Windows Protected Processes 메커니즘을 사용하는 유일한 바이러스 백신 제품입니다.
반대로 Avast CTO Ondrej Vlcek은 Cybellum이 작년에 자신의 회사에 취약점을 알렸다고 말했습니다. 따라서 취약점은 더 이상 문제가 되지 않습니다. Norton Security는 ZDNet에 비슷한 이야기를 했습니다. 문제를 조사한 후 개념 증명 공격으로 인한 취약점을 발견하지 못했습니다(Cybellum이 자사 제품을 공격하여 만든 비디오에도 불구하고).
그럼에도 불구하고 추가 탐지 및 차단 기술을 구현했습니다.
Pwn2Own의 Microsoft Edge
Pwn2Own은 매년 CanSecWest 보안 컨퍼런스에서 열리는 해킹 대회입니다. 2017년 판은 대회 10주년을 기념하며 엄청난 상금 $1,000,000를 기록했습니다. 목표는 매년 변경되지만 일반적으로 브라우저와 기타 일반 소프트웨어가 혼합되어 있습니다.
Microsoft는 Windows 10과 함께 완전히 새로운 브라우저를 도입했습니다. Edge는 이전 Internet Explorer 버전에서 발견된 과거의 취약점을 기반으로 구축을 피하기 위해 대부분 처음부터 만들어졌습니다. Microsoft는 Chrome 및 Firefox와 직접 경쟁하기 위해 브라우저가 필요했습니다. 일부에서는 성공했습니다. 다른 곳에서는 여전히 뒤쳐져 있습니다...
2017 Pwn2Own은 Microsoft Edge가 "5번 이상" 해킹되는 것을 보았습니다. 좋은 소식을 원하십니까? 이러한 해킹은 고도로 숙련된 전문 해커가 수행합니다. "360 Security" 팀이 완료한 한 해킹은 Microsoft Edge의 힙 오버플로 버그, 실제 Windows 커널의 유형 혼동, VM Workstation의 초기화되지 않은 버퍼를 악용하여 가상 머신을 탈출했습니다.
즉, 호스트 운영 체제에 액세스하기 위해 세 가지 별도의 고급 해킹을 완료했습니다. 그들의 노력으로 105,000달러를 벌었습니다.
다른 해킹을 사용할 수 있음
Microsoft Edge에 대해 또는 이를 활용한 다른 4건의 성공적인 해킹이 있었습니다. Microsoft Edge에 대한 Pwn2Own의 초점은 놀랍고 걱정스럽습니다. 마이크로소프트는 IE가 조롱받는 예전의 불안함을 없애기 위해 처음부터 새로운 브라우저를 만들었습니다. 불행히도 Microsoft Edge도 비슷하게 취약한 것 같습니다.
제쳐두고, Google 크롬은 해킹이 불가능했습니다.
왜 Microsoft인가? 왜 Windows인가?
Microsoft는 진정으로 정당한 것보다 더 많은 공격을 받고 있습니까?
제 생각에는 Microsoft가 거의 균등하게 실행되고 있습니다. 컴퓨팅 세계는 발견된 모든 취약점에 대해 Microsoft에 쌓이기를 좋아합니다. 그리고 당연히 그렇습니다. 가장 큰 시장 점유율을 보유한 회사인 Microsoft는 가정, 회사 또는 기업에 관계없이 광범위한 해킹 및 사이버 범죄로부터 사용자를 보호할 막중한 책임이 있습니다.
그러나 Windows가 강력해지기를 바라는 만큼 해커는 해킹할 것입니다. 그리고 Cybellum의 DoubleAgent 제로데이 발견에서 알 수 있듯이 항상 예상치 못한 공격 벡터가 발견되기를 기다리고 있습니다. Windows는 비공개 소스입니다. Microsoft는 소스 코드를 비밀로 유지합니다. 이해할 만합니다. 적절한 소프트웨어에는 고유한 문제가 있습니다. 수많은 버그, 취약점, 제로데이 익스플로잇이 바로 그 증상입니다.
Microsoft Windows는 여전히 인기가 높습니다. 액세스할 수 있고 많은 사람들에게 친숙하며 수백만 대의 컴퓨터에 사전 설치되어 있습니다. Microsoft는 보안의 필요성을 분명히 이해하고 있습니다. Windows 10은 이전 Windows 버전보다 훨씬 더 안전합니다. Microsoft Edge는 느리지만 올바른 방향으로 움직이고 있습니다. 그러나 패치가 된 지 1년 된 제로데이와 같은 뉴스 가치가 있는 취약점은 사이버 보안 세계 전반에 걸쳐 이해할 수 있는 경보를 계속 유발할 것입니다.
Windows 10의 향상된 보안에도 불구하고 여전히 유능한 바이러스 백신 응용 프로그램 또는 전체 온라인 보안 제품군을 실행하고 있어야 합니다.
Windows를 사용하는 것이 안전하다고 느끼십니까? Windows 보안을 어떻게 개선하시겠습니까? Microsoft는 사용자를 보호하기에 충분합니까? 아래에서 귀하의 생각을 알려주세요!
이미지 제공:Shutterstock.com을 통한 이미지