Defender Zero-day 2종 대응을 통한 SYSTEM 권한 탈취 및 DoS 차단

Defender zero-days CVE-2026-41091 and 45498 — what defenders should do today (May 2026)

Conor Dobbs2026년 6월 4일5분intermediate

AI 요약

Context

Microsoft Defender의 스캐닝 로직 및 플랫폼 내 설계 결함으로 인한 Elevation of Privilege(EoP)와 Denial of Service(DoS) 취약점 발생. SYSTEM 권한으로 동작하는 Defender의 특성을 이용해 일반 사용자가 관리자 권한을 획득하거나 보안 기능을 무력화하는 공격 경로 노출.

Technical Solution

Improper link resolution 해결을 위한 파일 액세스 전 심볼릭 링크 검증 로직 강화
SYSTEM 권한 프로세스의 파일 접근 시 Attacker-controlled path로의 리다이렉션 차단 설계
Antimalware Platform 버전 4.18.26040.7 업데이트를 통한 플랫폼 레벨 크래시 유발 취약점 제거
Sysmon Event ID 11 기반의 비정상적 Symbolic Link 생성 패턴 탐지 및 차단 체계 구축
MsMpEng.exe 비정상 종료 및 Event ID 5007 모니터링을 통한 EDR 무력화 시도 실시간 감지
Defender 단일 의존성을 탈피한 Secondary EDR Layer 도입을 통한 보안 가시성 확보

실천 포인트

- PowerShell `Get-MpComputerStatus` 명령어로 AMProductVersion

0.7 이상 여부 즉시 확인 - 사용자 쓰기 가능 경로 내 `.lnk`, `.junction` 파일 생성 및 `CreateSymbolicLink` API 호출 로그 감사 - Defender 서비스 중단 발생 시 즉각적인 Incident Response 가동을 위한 텔레메트리 파이프라인 점검 - 보안 솔루션 자체가 공격 벡터가 될 가능성을 고려한 Defence-in-Depth 전략 수립

태그

#Elevation of Privilege #Denial of Service #EDR #Zero-day #Symbolic Link

원문 읽기