Microsoft 보안 제품 CVE-2017-0290의 유형 혼란 취약점

최근 Google 보안 연구소에서 Microsoft 멀웨어 방지 서비스의 MsMpEng 엔진에 취약점을
설명하는 POC를 게시했습니다.
오늘은 Microsoft 보안제품 CVE-2017-0290의 유형 혼란 취약점에 대해 포스팅 하겠습니다.

 

MsMpEng 엔진의 주 구성 요소는 mpengine.dll인데 이것은 다양한 파일을 스캔하고 분석합니다.
다양한 파일 형식, 압축 및 암호화 알고리즘을 분석하기위한 다양한 인터프리터 및 에뮬레이터가

포함되어 있습니다.
Windows 7의 Windows Defender를 사용하여 제공된 POC를 검색하면 다음과 같은 충돌 알림이 표시됩니다.

 

 

다시 시작하고 작업 관리자에서 실행중인 프로세스를 확인한 후에 MsMpEng는 설치시

존재하지 않는다고 떴습니다.
그런 다음 작업 관리자의 서비스 탭을 확인하고 다음을 찾았습니다.

 

 

프로세스 목록에서 PID 3420을 검색하면 서비스가 svchost.exe에 연결되어 있음을 알 수 있습니다.

 

 

그런 다음 svchost의 인스턴스에 debugger를 연결하고 POC 검사를 시도했습니다.

 

 

결과적으로 취약한 함수는 mpengine.dll의 MPContainerWrite에 있습니다.

 

해당 취약점에 대해 Microsoft에서 긴급 패치를 하였습니다.

 

- Microsoft Security Advisory 4022344 : Security Update for Microsoft Malware Protection Engine

 

영향을 받는 소프트웨어의 목록은 다음과 같습니다.

 

- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Microsoft Defender for Windows 7
- Microsoft Defender for Windows 8.1
- Microsoft Defender for Windows RT 8.1
- Microsoft Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
- Windows Intune Endpoint Protection

 

Windows Defender 백신의 마이크로소프트 멀웨어 방지 엔진(Microsoft Malware Protection Engine)이 1.1.13701.0 버전 및 하위 버전인 경우에는 자동 업데이트 기능을 통해 패치된 1.1.13704.0버전으로

반드시 업데이트 하시기 바랍니다.

 

오늘은 Microsoft 보안 제품 CVE-2017-0290의 유형 혼란 취약점에 대한 내용으로

포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.