RSS CERT 최근에 게시된 취약점 노트 노트

RSS CERT 최근에 게시된 취약점 노트

kb.cert.org/vuls는 카네기 멜론 대학교 소프트웨어 공학 연구소(SEI)에서 유지하는 웹 페이지로, 알려진 소프트웨어 취약점에 대한 대규모 데이터베이스를 제공합니다. 여기에는 식별자, 설명, 심각도 등급, 잠재적 영향을 포함하여 사용자가 잠재적 보안 위험에 대해 정보를 얻을 수 있도록 합니다.

노트 스레드

PayRange는 자판기 및 세탁소와 같은 무인 기기에서 사용하도록 설계된 모바일 결제 애플리케이션입니다. 사용자는 스마트폰을 통해 블루투스로 결제할 수 있습니다. PayRange Android 애플리케이션 버전 7.0.7에서 심각한 취약점이 발견되었습니다. 이 취약점은 두 가지 별개의 보안 결함에서 비롯됩니다. 첫 번째 결함(CVE-2026-13462)은 WebView 내에서 애플리케이션의 SSL 인증서 처리와 관련이 있습니다. 구체적으로 PayRange 앱은 잘못된 SSL 인증서를 잘못 수락합니다. 두 번째 취약점(CVE-2026-13461)은 JavaScript 주입을 허용합니다. 이 주입은 WebView 샌드박스를 탈출하여 사용자의 기기에서 악의적인 작업을 수행할 수 있습니다. 공격자는 경로상 가로채기를 통해 이러한 취약점을 악용할 수 있습니다. 사용자 트래픽을 자신의 제어 장치로 리디렉션할 수 있습니다. 특정 규칙과 일치하는 신뢰할 수 있는 인증서를 제시함으로써 TLS 연결을 시작할 수 있습니다. 이를 통해 콘텐츠를 주입하고, 자격 증명을 수집하고, 무단 요청을 실행할 수 있습니다. 기기 운영자의 경우, 이는 전체 운영자 권한으로 PayRange 하드웨어에 명령을 발행하는 것으로 확장될 수 있습니다. 안타깝게도 공급업체에 연락하여 수정 사항을 조율할 수 없었습니다. 사용자에게는 하드웨어 또는 소프트웨어 공급업체에서 제공하는 사용 가능한 모든 소프트웨어 업데이트를 적용하는 것이 좋습니다.
Adalo의 노코드 애플리케이션 플랫폼에는 V1 및 V2 모두에서 구축된 모든 애플리케이션에 대해 데이터베이스 API를 통해 완전한 사용자 기록을 노출하는 심각한 보안 취약점이 있습니다. 이 문제는 백만 개 이상의 애플리케이션에 영향을 미쳐 개발자와 최종 사용자를 데이터 노출 위험에 빠뜨립니다. 이 문제는 인증된 사용자가 구성에 관계없이 모든 Adalo 애플리케이션에 속한 전체 사용자 데이터를 검색할 수 있도록 하는 플랫폼 수준의 결함에서 발생합니다. Adalo는 노코드 애플리케이션 구축을 위한 서비스형 소프트웨어(SaaS) 제공업체이며, 각 애플리케이션은 별도의 데이터베이스, 사용자 및 구성으로 논리적으로 격리되어야 합니다. 그러나 Adalo 데이터베이스 API에는 구성된 필드와 관계없이 모든 목록 구성 요소 요청에 대해 백엔드가 완전한 사용자 기록을 반환하도록 허용하는 결함이 있습니다. 데이터베이스는 소유권 인지 서버 측 권한 부여 검사를 강제하지 않아, 모든 Adalo 애플리케이션의 인증된 사용자가 다른 애플리케이션에 속한 데이터베이스 및 테이블 식별자를 쿼리하고 전체 기록을 검색할 수 있습니다. 또한, Adalo는 약 20일 동안 유효한 장기 JWT 토큰을 사용하므로 공격자는 이러한 토큰을 재사용하여 데이터베이스 API를 직접 쿼리하고 대량의 사용자 데이터를 추출할 수 있습니다. 노출된 토큰, 허용적인 CORS 동작 및 큰 응답 제한의 조합은 단일 토큰만으로도 모든 사용자 세션에서 얻은 토큰을 사용하여 전체 사용자 데이터베이스의 지속적이고 자동화된 수집을 가능하게 합니다. 이 취약점은 V1 및 V2의 모든 Adalo 애플리케이션에 영향을 미치며, 고객 및 테넌트는 Adalo 컬렉션의 데이터가 노출될 수 있다고 가정하고 패치가 배포될 때까지 민감한 정보를 저장하지 않아야 합니다. Adalo는 이 문제를 인지했지만 현재 패치는 제공되지 않으며, 사용자는 피싱 및 신원 도용 위험 증가에 유의하고 의심스러운 활동에 대해 계정을 모니터링해야 합니다.
Windows 10 및 11의 Windows 복구 환경(WinRE)은 UEFI/BIOS 펌웨어 보안 제어를 우회하는 데 악용될 수 있습니다. 물리적 또는 관리자 액세스 권한이 있는 공격자는 WinRE의 대체 부팅 경로를 활용할 수 있습니다. 이 경로는 일반 부팅 중에 적용되는 것과 동일한 보안 조치를 시행하지 않을 수 있습니다. 특히, 특정 복구 작업 중에 관리자 UEFI/BIOS 암호가 시행되지 않을 수 있습니다. 이 취약점은 물리적 액세스를 사용하여 보안 설정을 변경하는 "Evil Maid" 공격과 유사합니다. 표준 부팅 순서를 재정의하도록 설정할 수 있는 UEFI BootNext 변수는 인증되지 않았으며 악용될 수 있습니다. Secure Boot는 서명된 애플리케이션을 검증하지만, UEFI 사양은 BootNext가 설정된 후 전체 재설정을 의무화하지 않습니다. 이를 통해 암호와 잠재적으로 BitLocker와 같은 사전 부팅 보안을 우회할 수 있습니다. 높은 보안 요구 사항이 있는 조직은 UEFI/BIOS 암호 외에 추가 제어를 구현해야 합니다. Microsoft는 WinRE 관련 취약점에 대한 권고 및 완화 조치를 발표했습니다. 권장 솔루션에는 필요하지 않은 경우 WinRE 비활성화, 복구에 대한 관리자 권한 요구, TPM 및 PIN 또는 시작 키와 함께 BitLocker 활성화가 포함됩니다. 플러그형 미디어, EFI 시스템 파티션 및 UEFI NVRAM 수정 제한도 권장됩니다. 사전 부팅 보안을 위한 EDR 솔루션 배포 및 강력한 물리적 보안 제어 구현은 매우 민감한 시스템에 중요합니다.
다수의 공급업체가 서명한 UEFI 애플리케이션은 보안 부팅 우회 공격에 취약합니다. 이 익스플로잇은 공격자가 초기 사전 부팅 단계에서 임의의 코드를 실행할 수 있도록 합니다. 이 취약점은 "Bring Your Own Vulnerable Driver" (BYOVD) 기술을 활용합니다. 시스템이 공급업체의 인증서를 신뢰하는 경우, 공격자는 운영 체제가 로드되기 전에 펌웨어를 손상시킬 수 있습니다. UEFI 표준은 보안 부팅을 위해 서명된 애플리케이션 및 드라이버를 요구합니다. 공격자는 특정 기능을 가진 UEFI 애플리케이션을 악용하여 이러한 보안 정책을 우회할 수 있습니다. 연구원들은 Acer, AMD, ASUS와 같은 공급업체의 다양한 UEFI 애플리케이션이 취약하다는 것을 확인했습니다. 이러한 애플리케이션은 메모리를 조작하거나 원시 드라이버를 로드할 수 있는 기능을 가지고 있습니다. 그 영향은 상당하며, 지속적인 플랫폼 손상과 보안 도구 회피를 허용합니다. 이 위험을 완화하기 위해 시스템 관리자는 UEFI Forbidden Signature Database (DBX)를 업데이트해야 합니다. 이 조치는 취약한 바이너리에 대한 신뢰를 철회합니다. 또한, 공급업체에서 제공하는 펌웨어 및 소프트웨어 업데이트를 적용하는 것이 중요합니다. 이러한 업데이트는 취약한 애플리케이션을 안전한 버전으로 교체합니다. DBX를 업데이트하면 이러한 손상된 애플리케이션의 실행을 방지할 수 있습니다.
Microsoft는 Secure Boot 우회 취약점으로 인해 오픈 소스 shim 부트로더의 이전 버전에 대한 신뢰를 철회하고 있습니다. 이 취약점을 통해 공격자는 부팅 프로세스 초기에 임의의 코드를 실행하여 보안 조치를 우회할 수 있습니다. 주로 버전 0.9 이하의 영향을 받는 shim 부트로더는 Microsoft UEFI Forbidden Signature Database(DBX)에 추가될 것입니다. DBX가 업데이트되면 이러한 부트로더는 실행이 금지됩니다.shim 프로젝트는 펌웨어와 운영 체제 간의 브릿지 역할을 하여 Linux 배포판의 Secure Boot를 용이하게 합니다. 그러나 취약한 이전 버전을 포크하고 업데이트하지 않은 공급업체는 지속적인 공급망 위험을 초래했습니다. 연구원들은 Red Hat, baramundi, Oracle을 포함한 다양한 공급업체의 특정 취약한 shim 부트로더를 식별했습니다.이 결함을 악용하면 부팅 수정 권한이 있는 공격자가 지속적인 제어권을 확보하고 재부팅 후에도 유지되는 서명되지 않은 커널 구성 요소를 로드할 수 있습니다. 이러한 악성 구성 요소는 운영 체제 보안 및 엔드포인트 탐지 솔루션을 회피할 수 있습니다. 이를 완화하기 위해 사용자는 최신 공급업체 소프트웨어 및 부트로더 업데이트를 적용해야 합니다.또한, 취약한 부트로더를 차단하기 위해 Microsoft의 DBX 업데이트를 적용하는 것이 중요합니다. 기업 및 개발자는 광범위한 배포 전에 이러한 업데이트를 철저히 테스트해야 합니다. DBX 취소를 적용하기 전에 승인된 서명 데이터베이스(DB)를 업데이트하는 것이 좋습니다. DBX 업데이트를 감사하고 확인하며 취소된 부팅 구성 요소를 식별하는 도구를 사용할 수 있습니다.
Collibra Platform Agent는 원격 코드 실행을 허용하는 연쇄적인 취약점을 포함하고 있습니다. 원격의 인증되지 않은 공격자는 조작된 ZIP 아카이브를 업로드하여 이러한 취약점을 악용할 수 있습니다. 이 아카이브는 추출 중에 Zip Slip 취약점을 악용하여 경로 이동을 가능하게 합니다. 구체적으로, POST /rest/restore 엔드포인트는 추출된 파일 경로를 제대로 검증하지 못합니다. 공격자는 디렉토리 이동 시퀀스를 사용하여 서버의 임의 위치에 파일을 쓸 수 있습니다. 한 가지 악용 경로는 웹 접근 가능한 디렉토리에 악성 JavaServer Pages 파일을 배치하는 것입니다. 이 파일이 HTTP를 통해 접근될 때 원격 코드 실행으로 이어집니다. /rest/* 아래의 권한 있는 REST 엔드포인트 또한 적절한 인증 및 권한 부여가 부족합니다. 이러한 노출된 엔드포인트는 추가적인 악용을 위한 정보를 수집하는 데 사용될 수 있습니다. 이러한 엔드포인트에 대한 웹 서비스는 모든 네트워크 인터페이스에 바인딩되어 잠재적으로 노출을 증가시킬 수 있습니다. 성공적인 악용은 공격자가 웹 쉘을 설치하고, 데이터를 조작하고, 가용성을 방해하고, 네트워크로 피벗하는 것을 허용합니다. Collibra는 이러한 취약점을 해결하기 위해 업데이트된 버전을 출시했습니다. 사용자들은 수정된 릴리스로 즉시 업데이트할 것을 강력히 권고합니다. 관리자는 노출된 REST 엔드포인트 및 관리 인터페이스에 대한 접근을 제한해야 합니다.
PC Tools Internet Security의 PCTCore64.sys Windows 커널 드라이버에는 심각한 보안 취약점이 있습니다. 이 드라이버는 적절한 접근 통제 조치 없이 \.\PCTCoreDriver라는 장치 인터페이스를 노출합니다. 결과적으로 사용자 모드 프로세스는 이 드라이버와 상호 작용하고 권한 있는 IOCTL 명령을 실행할 수 있습니다.Bring Your Own Vulnerable Driver (BYOVD) 시나리오에서 Windows 드라이버를 로드할 수 있는 공격자는 이 결함을 악용할 수 있습니다. 공격자는 드라이버의 노출된 인터페이스를 호출하여 대상 시스템에서 민감한 저수준 작업을 수행할 수 있습니다. 드라이버는 보안 디스크립터 적용이 부족하여 권한 없는 프로세스가 장치 핸들을 열고 권한 있는 IOCTL 요청을 보낼 수 있습니다.이를 통해 공격자는 시스템 전체 핸들을 열거하고 프로세스 간 핸들을 조작하는 등의 작업을 수행할 수 있습니다. 중요한 것은 lsass.exe와 같은 민감한 프로세스에서 자격 증명을 추출할 수 있다는 것입니다. 보호된 프로세스를 포함한 임의의 프로세스 종료도 가능합니다.PC Tools Internet Security는 2013년에 단종되었지만, 이 드라이버는 여전히 서명되어 있으며 BYOVD 공격에서 악용될 수 있습니다. 이 취약점은 자격 증명 도용, 보안 소프트웨어 비활성화 및 광범위한 시스템 침해를 용이하게 합니다. 영향으로는 자격 증명 도용, 서비스 거부 및 시스템 침해가 있습니다.해결책은 더 이상 유지 관리되지 않는 취약한 드라이버를 제거하고 차단하는 것입니다. 조직은 또한 관리자 권한 제한 및 HVCI 및 WDAC와 같은 Windows 보안 기능 활성화와 같은 BYOVD 공격에 대한 완화 조치를 구현해야 합니다.
SGLang 프로젝트에서 세 가지 치명적인 취약점이 발견되었습니다. SGLang은 대규모 AI 모델을 서빙하기 위한 프레임워크입니다. 이 취약점 중 두 가지는 원격 코드 실행(RCE)을 허용하며, 세 번째는 경로 탐색(path traversal) 결함입니다. 악용하려면 멀티모달 생성 모드가 활성화되어 있어야 하며, 공격자는 SGLang 서비스에 네트워크 접근 권한을 가지고 있어야 합니다. 현재 이러한 문제에 대한 패치는 제공되지 않습니다. 프로젝트 유지보수자는 조정 과정에서 응답을 제공하지 않았습니다. CVE-2026-7301은 멀티모달 생성 런타임 스케줄러의 pickle.loads() 싱크를 악용하여, 노출될 경우 RCE를 허용합니다. 이 취약점은 기본적으로 모든 네트워크 인터페이스에 바인딩되어 접근 가능합니다. CVE-2026-7302는 멀티모달 생성 런타임에서 경로 탐색을 통해 임의의 파일 쓰기를 허용합니다. 공격자는 디렉토리 탐색 시퀀스를 사용하여 업로드 파일 이름을 조작함으로써 이를 달성할 수 있습니다. CVE-2026-7304는 사용자 정의 로짓 프로세서가 활성화된 경우, dill.loads()를 통한 인증되지 않은 Python 객체 역직렬화를 통해 RCE를 가능하게 합니다. 악용될 경우, 이러한 취약점은 SGLang 호스트에서 원격 코드 실행 또는 임의의 파일 쓰기로 이어질 수 있습니다. 가장 높은 위험은 영향을 받는 인터페이스를 신뢰할 수 없는 네트워크에 노출하는 배포에 있습니다. 패치가 출시될 때까지 사용자는 서비스 접근을 제한하고 신뢰할 수 없는 네트워크에 노출하지 않아야 합니다.
리눅스 커널 4.17 및 이후 버전에서 "Copy Fail"이라는 새로운 권한 상승 취약점이 발견되었습니다. CVE-2026-31431로 지정된 이 결함은 로컬 사용자가 루트 액세스 권한을 얻을 수 있도록 허용합니다. 이 취약점은 인증된 암호화에 사용되는 algif_aead 모듈 내의 논리 오류에서 비롯됩니다. 권한이 없는 사용자는 읽기 가능한 모든 파일의 페이지 캐시에 제어된 4바이트를 쓸 수 있습니다. 이 메모리 내 수정은 무결성 검사를 우회할 수 있으며, 디스크 상의 파일은 변경되지 않습니다. 공격자는 setuid 바이너리를 대상으로 하여 메모리 내 내용을 변경함으로써 권한을 상승시킬 수 있습니다. 공개된 Python 개념 증명(proof-of-concept)이 존재하여 악용 위험이 증가합니다. 해결책은 AEAD 작업을 되돌리는 업스트림 커널 패치를 적용하는 것입니다. 사용자는 업데이트가 가능한 즉시 리눅스 배포판을 업데이트해야 합니다. 해결 방법에는 algif_aead 모듈을 비활성화하거나 초기화를 블랙리스트에 추가하는 것이 포함됩니다. 컨테이너화된 환경에서는 seccomp 필터링, AppArmor 정책 또는 eBPF 기반 강제 적용과 같은 추가 완화 조치가 필요합니다. 가상화는 메모리 격리 때문에 호스트 탈출에 이 버그를 활용할 수 없습니다. 이 취약점은 Theori에 의해 발견되었으며 Bob Kemerer와 Vijay Sarvepalli가 문서화했습니다.
DRC INSIGHT 소프트웨어의 구성 관리 엔드포인트에 보안 결함이 존재합니다. 동일 네트워크 상의 인증되지 않은 사용자가 서버의 구성 파일을 수정할 수 있습니다. CVE-2026-5756으로 추적되는 이 취약점을 통해 잠재적인 데이터 유출, 트래픽 리디렉션 또는 서비스 중단이 발생할 수 있습니다. 테스트 콘텐츠 배포에 사용되는 DRC INSIGHT의 중앙 사무실 서비스(Central Office Services, COS) 구성 요소는 적절한 인증 없이 관리 엔드포인트를 노출합니다. 네트워크 접근 권한이 있는 모든 장치가 이 엔드포인트에 요청을 제출할 수 있습니다. 공격자는 이를 악용하여 학생 데이터(예: 시험 응답 또는 오디오 녹음)를 악성 외부 서비스로 리디렉션할 수 있습니다. 또한 악성 프록시 설정을 삽입하여 HTTPS 트래픽을 가로챌 수도 있습니다. 잘못된 구성 변경은 서비스 중단으로 이어져 서버 시작을 방해하거나 활성 평가를 방해할 수 있습니다. 현재 공급업체에서 제공하는 패치는 없습니다. 조직은 COS 서버에 대한 네트워크 접근을 제한하여 격리된 네트워크 세그먼트에 배치해야 합니다. 방화벽은 구성 엔드포인트에 대한 접근을 제한해야 하며, 이상적으로는 localhost 또는 승인된 관리 IP로 제한해야 합니다. 아웃바운드 트래픽은 승인된 대상으로 제한하고 의심스러운 활동을 모니터링해야 합니다. 관리자는 구성 엔드포인트에 대한 요청 및 비정상적인 트래픽 패턴에 대한 로깅 및 모니터링을 활성화해야 합니다.
테라리움은 샌드박스 환경에서 안전한 코드 실행을 위해 설계된 플랫폼입니다. 테라리움 내에서 호스트 Node.js 프로세스에 대한 루트 권한으로 임의의 코드를 실행할 수 있는 치명적인 취약점이 발견되었습니다. 이 익스플로잇은 Pyodide WebAssembly 환경 내의 문제에서 비롯됩니다.이 취약점은 jsglobals 객체가 구성되는 방식, 특히 모의 문서 객체에서 발생합니다. 표준 JavaScript 객체 리터럴에서 생성된 이 객체는 Object.prototype을 상속합니다. 이 상속을 통해 샌드박스화된 코드는 프로토타입 체인을 함수 생성자까지 올라갈 수 있습니다. 거기서 공격자는 globalThis를 반환하는 함수를 생성하여 require()와 같은 필수 Node.js 내부 기능에 접근할 수 있습니다. 결과적으로 공격자는 샌드박스를 탈출하여 컨테이너 내에서 루트로 모든 명령을 실행할 수 있습니다.CVE-2026-5752로 식별된 이 샌드박스 탈출 취약점은 테라리움에 의존하는 애플리케이션에 상당한 위험을 초래합니다. 공격자는 루트로 명령을 실행하고, 민감한 파일에 접근 및 수정하며, 내부 네트워크 서비스를 손상시키고, 잠재적으로 컨테이너를 탈출하여 추가적인 권한 상승을 할 수 있습니다. 안타깝게도 현재 벤더 패치는 사용할 수 없습니다.이 위험을 완화하기 위해 가능한 경우 샌드박스로의 코드 제출을 비활성화하는 것이 좋습니다. 네트워크 분할 및 웹 애플리케이션 방화벽(WAF) 사용은 공격 표면을 제한하고 악의적인 트래픽을 탐지하는 데 중요합니다. 컨테이너 활동에 대한 비정상적인 동작을 지속적으로 모니터링하는 것이 좋습니다. 또한 엄격한 접근 제어 및 보안 컨테이너 오케스트레이션 도구 사용이 필수적입니다. 모든 종속성을 최신 상태로 유지하고 패치하는 것은 기본적인 보안 관행입니다. 이 취약점은 Jeremy Brown이 AI 지원 연구를 통해 발견했습니다.
잘못된 ZIP 헤더는 일부 압축 해제 소프트웨어가 아카이브를 압축 해제할 수 있기 때문에 바이러스 백신 및 EDR 소프트웨어가 가짜 음성을 생성하도록 합니다. ZIP 아카이브는 압축 방법 및 버전 정보와 같은 중요한 메타데이터를 보유하며, 이는 바이러스 백신 엔진이 전처리에 사용합니다. 공격자는 압축 방법 필드를 수정하여 페이로드의 적절한 압축 해제 및 분석을 방지할 수 있습니다. 바이러스 백신 시스템을 우회한 후, 페이로드는 선언된 방법을 우회하는 사용자 지정 로더에 의해 복구될 수 있습니다. 이 기술을 통해 공격자는 악성 콘텐츠를 숨기면서도 프로그래밍 방식으로 검색할 수 있습니다. 그러나 표준 압축 해제 도구는 이러한 조작된 아카이브를 만났을 때 오류로 실패하는 경우가 많습니다. 이 취약점은 이전에 식별된 CVE와 유사합니다. 원격 공격자는 바이러스 백신 또는 EDR 소프트웨어의 검사를 우회하기 위해 변조된 메타데이터가 있는 ZIP 아카이브를 제작할 수 있습니다. 많은 제품이 파일을 손상된 것으로 플래그 지정할 수 있지만, 악성 코드 실행에는 아카이브를 추출하거나 처리하기 위한 사용자 상호 작용이 여전히 필요합니다. 선언된 압축 방법을 무시하는 사용자 지정 로더는 숨겨진 콘텐츠를 복구하고 실행할 수 있습니다. 바이러스 백신 및 EDR 공급업체는 콘텐츠 처리를 위해 선언된 아카이브 메타데이터에만 의존하는 것을 피해야 합니다. 스캐너는 실제 콘텐츠에 대해 압축 방법 필드를 검증하고 불일치를 플래그 지정하기 위해 보다 공격적인 탐지 모드를 구현해야 합니다. 사용자는 취약점 평가 및 완화 지침을 위해 바이러스 백신 또는 EDR 공급업체에 문의하는 것이 좋습니다.
MS-에이전트 프레임워크에서 명령어 주입 취약점이 존재하여, 입력된 프롬프트의 제한되지 않은 명령어 실행이 가능합니다. MS-에이전트 프레임워크는 운영 체제에서 명령어를 실행하기 위해 셸 도구를 사용합니다. 이 취약점은 소프트웨어가 외부 콘텐츠를 셸 도구를 통해 실행하기 전에 충분히 제한하지 못하기 때문에 발생합니다.공격자는 프롬프트 주입 기술을 사용하여 에이전트가 의도하지 않은 셸 명령어를 실행하도록 속일 수 있습니다. 셸 도구는 check_safe() 메서드에서 정규 표현식 기반의 차단 목록을 사용하여 안전하지 않은 명령어를 제한하려고 시도합니다. 그러나 이 차단 목록 메커니즘은 제작된 입력으로 우회할 수 있으며, 악의적인 명령어를 셸 실행 계층에 도달하도록 허용합니다. CVE-2026-2256로 추적되는 이 취약점을 통해 공격자는 임의의 운영 체제 명령어를 실행할 수 있습니다. 공격자는 에이전트가 악의적인 명령어 시퀀스를 포함하는 공격자 제어 콘텐츠를 처리하거나 검색할 때 이 취약점을 악용할 수 있습니다.차단 목록 기반 필터링은 본질적으로 약하며 인코딩 또는 모호화와 같은 다양한 방법으로 우회할 수 있습니다. 성공적인 악용은 공격자가 MS-에이전트 프로세스의 권한으로 명령어를 실행할 수 있도록 합니다. 이는 시스템 파일 수정, 수평 이동, 지속성 또는 데이터 유출로 이어질 수 있습니다.공급자는 조정 중에 패치 또는 성명을 제공하지 않았습니다. 사용자는 검증된 입력이 있는 신뢰할 수 있는 환경에서만 MS-에이전트를 배포하도록 권장됩니다. 셸 실행이 있는 에이전트는 샌드박스화되거나 최소 권한으로 실행되어야 합니다. 또한 차단 목록을 엄격한 허용 목록으로 대체하고 도구 실행을 위한 격리를 개선하는 것도 권장되는 완화 전략입니다.
Safetica의 데이터 유출 방지 소프트웨어에 사용되는 ProcessMonitorDriver.sys 커널 드라이버에 취약점이 존재합니다. 이 취약점은 권한이 없는 사용자가 노출된 IOCTL 경로를 통해 시스템 프로세스를 종료할 수 있게 합니다. 이 취약점은 드라이버 인터페이스 내에서 부적절한 입력 검증 및 사용자 유효성 검사에서 비롯됩니다. 이 결함을 성공적으로 악용하면 서비스 거부 공격이 가능하며, Safetica 시스템을 사용할 수 없게 만들 수 있습니다. 공격자는 프로세스를 반복적으로 종료하여 시스템 기능 및 보안 모니터링을 방해할 수 있습니다. 이 보고서가 발표된 시점에서는 이 중요한 문제를 해결하기 위한 공급업체의 공식적인 수정 사항이 아직 발표되지 않았습니다. 조직은 드라이버를 대상으로 하는 의심스러운 IOCTL 호출을 적극적으로 모니터링하는 것이 좋습니다. 악용 및 비정상적인 패턴을 감지하기 위해 커널 드라이버 모니터링 솔루션을 구현하는 것이 필수적입니다. Windows 정책을 통해 취약한 드라이버에 대한 접근을 제한하는 것도 중요합니다. 이는 그룹 정책 또는 응용 프로그램 제어를 통해 수행하여 무단 상호 작용을 방지할 수 있습니다. 이 보고서는 신뢰할 수 없거나 서명되지 않은 바이너리가 드라이버와 통신하는 것을 차단할 것을 권장합니다.