Microsoft는 최근 보안 권고 4022344를 게시하여 Malware Protection Engine의 심각한 보안 취약점을 발표했습니다.

Microsoft 맬웨어 방지 엔진

이 도구는 소비자 PC의 Windows Defender 및 Microsoft Security Essentials와 같은 다양한 Microsoft 제품에서 사용됩니다. 또한 비즈니스 측면에서 Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection 또는 Windows Intune Endpoint Protection에서도 사용됩니다.

이러한 모든 제품에 영향을주는 취약점으로 인해 Microsoft Malware Protection Engine을 실행하는 프로그램이 제작 된 파일을 검사 한 경우 원격 코드 실행이 허용 될 수 있습니다.

Windows Defender 취약성 수정

구글 프로젝트 제로 (Google Project Zero)의 Tavis Ormandy와 Natalie Silvanovich는 2017 년 5 월 6 일 "최근 메모리에서 최악의 Windows 원격 코드 실행"을 발견했습니다. 그것을 고치기 위해 90 일.

Microsoft는 신속하게 패치를 만들어 새로운 버전의 Windows Defender 등을 사용자에게 제공했습니다.

장치에서 실행중인 영향을받는 제품을 보유한 Windows 고객은 반드시 제품을 업데이트해야합니다.

Windows 10에서 프로그램 업데이트

• Windows 키를 누르고 Windows Defender를 입력 한 다음 Enter 키를 눌러 프로그램을로드하십시오.
• Windows 10 Creators Update를 실행하면 새로운 Windows Defender 보안 센터가 제공됩니다.
• 톱니 바퀴 아이콘을 클릭하십시오.
• 다음 페이지에서 정보를 선택하십시오.
• 엔진 버전을 확인하여 1.1.13704.0 이상인지 확인하십시오.

Windows Defender 업데이트는 Windows Update를 통해 제공됩니다. Microsoft 맬웨어 방지 제품 수동 업데이트에 대한 자세한 내용은 Microsoft 웹 사이트의 맬웨어 방지 센터에서 확인할 수 있습니다.

Project Zero 웹 사이트의 Google 취약성 보고서

여기있어:

MsMpEng의 취약점은 서비스의 특권, 접근성 및 편재성으로 인해 Windows에서 가장 심각합니다.

스캔 및 분석을 담당하는 MsMpEng의 핵심 구성 요소를 mpengine이라고합니다. Mpengine은 수십 개의 난해한 아카이브 형식, 실행 가능 패커 및 크립 터, 다양한 아키텍처 및 언어에 대한 전체 시스템 에뮬레이터 및 해석기 등으로 구성된 광범위하고 복잡한 공격 영역입니다. 이 코드는 모두 원격 공격자가 액세스 할 수 있습니다.

NScript는 JavaScript와 같은 파일 시스템 또는 네트워크 활동을 평가하는 mpengine의 구성 요소입니다. 분명히 이것은 기본적으로 모든 최신 Windows 시스템에서 신뢰할 수없는 코드를 평가하는 데 사용되는 샌드 박스가없고 권한이있는 JavaScript 인터프리터입니다. 이것은 들리는 것처럼 놀랍습니다.