마이크로소프트 디펜더 로우그플래닛 제로데이, 최신 윈도우에서 SYSTEM 권한 획득
출처: The Hacker News
Ravie Lakshmanan2026년 6월 10일 Zero‑Day / 취약점
익명 보안 연구원 “Chaotic Eclipse”(또는 Nightmare‑Eclipse) 가 RoguePlanet 라는 또 다른 Microsoft Defender 제로데이용 증명 개념(PoC) 익스플로잇을 공개했습니다.
“이 익스플로잇은 레이스 컨디션이라서 성공 여부가 운에 달렸습니다,” 라고 새 GitHub 계정 MSNightmare 로 익스플로잇을 올린 연구원은 말했습니다. “일부 머신에서는 100% 성공률을 기록했지만, 다른 머신에서는 작동하기 어려웠습니다.”
익스플로잇이 성공하면 SYSTEM 권한을 가진 쉘이 얻어지며, 공격자는 임의 코드를 실행하거나 무단 행동을 수행할 수 있습니다.
연구원은 이 익스플로잇을 2026년 6월 Patch Tuesday 업데이트가 적용된 Windows 11 및 Windows 10 머신에서 테스트했으며, 최신 데스크톱 운영체제 버전에서도 동작한다는 점을 밝혔습니다.
다만 현재 형태의 익스플로잇은 “표준 사용자는 ISO 이미지를 마운트할 수 없기 때문에” Windows Server 인스턴스에서는 동작하지 않습니다. Chaotic Eclipse 는 Windows Server 역시 해당 결함에 취약하며, 이를 작동시키려면 익스플로잇을 재설계해야 한다고 강조했습니다.
“이 PoC를 작동시키는 데 정말 정신이 다 빠졌습니다. 정신적·신체적 건강이 크게 악화됐지만, 5월 말에 완전한 PoC를 완성했습니다,” 라고 연구원은 전했습니다.
“Microsoft가 Defender를 경로 재지정 공격으로부터 보호하려는 노력은 무의미합니다. 저는 이미 Defender에 대한 메모리 손상 취약점들을 다수 보유하고 있으며, 다른 여러 구성 요소에서도 다수의 취약점을 가지고 있습니다.”
영상 출처: ThreatLocker
보안 연구원 Will Dormann 은 Mastodon에 올린 글에서 “보고된 바에 따르면 100% 신뢰할 수는 없지만, 저에게는 첫 시도에 바로 동작했습니다” 라고 공유했습니다.
RoguePlanet 은 Chaotic Eclipse 가 최근 몇 달간 밝혀낸 일련의 결함 중 최신 사례입니다—
- BlueHammer (CVE‑2026‑33825)
- UnDefend (CVE‑2026‑45498)
- RedSun (CVE‑2026‑41091)
이러한 비협조적 공개는 연구원(본인 공개를 하지 않음)과 Microsoft 사이에 의사소통이 단절된 뒤 보복 차원의 행동으로 평가됩니다.
Chaotic Eclipse 는 자신의 Blogger 페이지에 암호화 서명된 글을 올리며, Microsoft 가 취약점 공개 과정을 처리한 방식에 불만을 표하고, 연구원들이 취약점을 보고할 수 있는 Microsoft Security Response Center(MSRC) 계정을 차단한 점을 비판했습니다. 또한 레드몬드가 자신을 모욕하고, 보고서를 무시하며, 식별된 취약점에 대한 보상을 제공하지 않고, 명예를 훼손했다고 주장했습니다.
지난 달 말, Microsoft 는 공개 취약점 공개를 비난하며, 이는 “절대 정당화될 수 없으며 고객에게 불필요한 위험을 초래한다”고 밝혔습니다. 앞서 언급한 세 가지 Defender 취약점은 모두 이미 실전에서 악용된 바 있습니다.
이 공개적인 갈등은 연구원의 GitHub 및 GitLab 계정이 차단되는 결과를 낳았습니다. “Microsoft는 자사 제품만 보호하기 위해 GitHub 소유권을 악용하고, 자사 제품에 대한 취약점 정보를 범죄 행위로 몰아 법 집행 기관과의 연계를 남용하고 있다”고 보안 연구원 Kevin Beaumont 가 지적했습니다.
“법적 문제에 관해 명확히 말씀드리면, 우리는 보안 연구를 수행하거나 공개하는 개인에 대해 조치를 취할 의도가 없습니다,” 라고 Microsoft 는 X 게시물에서 언급했습니다. “하지만 누군가가 법을 위반하고 악의적인 행위로 우리 고객에게 실제 피해를 입힌다면, 우리는 적절히 법 집행 기관과 협력할 것입니다.”
“우리는 모든 소통에서 투명성, 명확한 커뮤니케이션, 그리고 전문성을 유지하기 위해 최선을 다하고 있습니다. 고객을 보호하고 제품을 개선하기 위한 기반으로서 조정된 취약점 공개(Coordinated Vulnerability Disclosure)를 강력히 믿고 있습니다.”
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.