소프트웨어, 서비스 및 디바이스의 취약성으로부터 고객을 보호하려는 노력에는 Microsoft에 신고된 취약성을 해결하는 보안 업데이트 및 지침 제공이 포함됩니다. 또한 보안 연구원과 고객에게 이러한 노력을 투명하게 유지하려고 합니다. 이 문서는 MSRC(Microsoft 보안 대응 센터)에서 최신 및 현재 지원되는 Windows 버전에 영향을 주는 신고된 취약성이 서비스를 통해 또는 다음 Windows 버전에서 해결될 수 있는지를 확인하는 데 사용하는 조건을 설명합니다. Windows의 취약성에 대한 서비스는 화요일 업데이트(매월 두 번째 화요일)에서 가장 많이 릴리스되는 보안 업데이트 또는 해당 지침의 형식을 사용합니다.

보안 서비스 조건

Microsoft에서 신고된 취약성에 대한 보안 업데이트 또는 지침이 다음 두 가지 주요 질문의 답변을 포함하는지 여부를 평가할 때 사용하는 조건입니다.
    1. 취약성이 보안 경계 또는 보안 기능의 목표나 의도를 위반하나요?
    2. 취약성의 심각도가 서비스 조건을 충족하나요?
두 질문의 답변이 모두 예라면 Microsoft는 상업적으로 타당한 경우 영향을 받고 지원되는 제품에 적용되는 보안 업데이트 및/또는 지침을 통해 취약성을 해결하려고 합니다. 두 질문 중 하나의 답변이 아니요라면 기본적으로 취약성은 다음 Windows 버전이나 릴리스에서 고려되고 보안 업데이트 또는 지침을 통해 해결되지 않지만, 예외가 발생할 수도 있습니다.

이 문서에서는 가장 많이 신고된 취약성을 설명하지만, 보안 환경이 끊임없이 변화함에 따라 이 조건으로 처리되지 않는 취약성이 있거나 위협 환경의 변화로 인해 조건이 조정될 수도 있습니다. Microsoft는 고객의 위험을 기준으로 취약성을 해결하며, 평가된 위험에 따라 언제든지 신고서를 처리하거나 처리하지 않도록 선택할 수 있습니다.

Microsoft에서 서비스하려는 보안 경계 및 기능

Microsoft 소프트웨어, 서비스 및 디바이스는 보안 목표를 달성하기 위해 소프트웨어가 종속되는 기본 하드웨어의 보안뿐만 아니라 여러 보안 경계와 보안 기능을 사용합니다.
보안 경계
보안 경계는 신뢰 수준이 서로 다른 보안 도메인의 코드와 데이터를 논리적으로 분리합니다. 예를 들어 커널 모드와 사용자 모드를 분리하는 것은 단순한 클래식 보안 경계입니다. Microsoft 소프트웨어는 여러 개의 보안 경계를 사용하여 네트워크의 디바이스, 가상 머신 및 디바이스의 애플리케이션을 격리합니다. 다음 표에는 Microsoft에서 정의된 Windows 보안 경계가 요약되어 있습니다.

보안 경계

보안 목표

서비스 의도 여부

장려금 여부

네트워크 경계

권한 없는 네트워크 엔드포인트는 고객 디바이스의 코드 및 데이터에 액세스하거나 변조할 수 없습니다.

커널 경계

비관리 사용자 모드 프로세스는 커널 코드 및 데이터에 액세스하거나 변조할 수 없습니다. 관리자-커널은 보안 경계가 아닙니다.

프로세스 경계

권한 없는 사용자 모드 프로세스는 다른 프로세스의 코드 및 데이터에 액세스하거나 변조할 수 없습니다.

AppContainer 샌드박스 경계

AppContainer 기반 샌드박스 프로세스는 컨테이너 기능에 따라 샌드박스 외부의 코드 및 데이터에 액세스하거나 변조할 수 없습니다.

사용자 경계

사용자는 권한 없이 다른 사용자의 코드 및 데이터에 액세스하거나 변조할 수 없습니다.

세션 경계

사용자 로그온 세션은 권한 없이 다른 사용자 로그온 세션에 액세스하거나 변조할 수 없습니다.

웹 브라우저 경계

권한 없는 웹 사이트는 동일 원본 정책을 위반할 수 없으며, Microsoft Edge 웹 브라우저 샌드박스의 네이티브 코드 및 데이터에 액세스하거나 변조할 수도 없습니다.

가상 머신 경계

권한 없는 Hyper-V 게스트 가상 머신은 다른 게스트 가상 머신의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. 여기에는 Hyper-V 격리 컨테이너가 포함됩니다.

가상 보안 모드 경계

VSM trustlet 또는 enclave 내의 데이터 및 코드는 VSM trustlet 또는 enclave 외부에서 실행되는 코드를 통해 액세스하거나 변조할 수 없습니다.

비경계*

일부 Windows 구성 요소와 구성은 명시적으로 강력한 보안 경계를 제공하기 위한 것이 아닙니다. 해당 구성 요소는 다음 표에 요약되어 있습니다.

*참고: 다음 목록은 전체 목록이 아니라 일반적으로 경계로 잘못 인식되는 두 가지 구성 요소를 설명하기 위한 것입니다. 명시적으로 지정된 경우가 아니면 기본적으로 구성 요소는 경계로 간주되지 않습니다.

구성 요소

설명

Windows Server 컨테이너

Windows Server 컨테이너는 공유 커널을 사용하여 리소스 격리를 제공하지만 악의적인 다중 테넌트 지원 시나리오에서 사용하기 위한 것은 아닙니다. 악의적인 다중 테넌트 지원과 관련된 시나리오에서는 Hyper-V 격리 컨테이너를 사용하여 테넌트를 강력하게 격리해야 합니다.

관리자-커널

관리 프로세스 및 사용자는 Windows용 TCB(신뢰할 수 있는 컴퓨팅 기반)의 일부로 간주되므로 커널 경계에서 강력하게 격리되지 않습니다. 관리자는 디바이스의 보안을 제어하며, 보안 기능을 사용하지 않도록 설정하고 보안 업데이트를 제거하며 커널 격리를 비효율적이게 하는 기타 작업을 수행할 수 있습니다.

보안 기능

보안 기능은 보안 경계를 토대로 빌드되어 특정 위협으로부터 강력한 보호 기능을 제공합니다. 보안 기능의 목표가 위협으로부터 강력한 보호 기능을 제공하는 것이고 보안 기능의 목표 달성을 방해하는 의도적인 제한이 없어야 하는 경우도 있습니다. 이 범주의 보안 기능에 대해 Microsoft는 다음 표에 요약된 대로 서비스를 통해 신고된 취약성을 해결하려고 합니다.

범주

보안 기능

보안 목표

서비스 의도 여부

장려금 여부

디바이스 보안

BitLocker 디바이스를 끄면 디스크의 암호화된 데이터를 가져올 수 없습니다.

디바이스 보안

보안 부팅 UEFI 펌웨어 정책에 정의된 대로 OS 로더를 비롯한 사전 OS에서는 인증된 코드만 실행할 수 있습니다.

플랫폼 보안

WDSG(Windows Defender System Guard) 시스템의 애플리케이션 제어 정책에 따라 부적절하게 서명된 이진은 실행하거나 로드할 수 없습니다. 정책에서 허용된 애플리케이션을 활용하는 바이패스는 범위에 속하지 않습니다.

애플리케이션 보안

WDAC(Windows Defender Application Control) 인식된 Windows 스크립트 호스트에서 실행되는 스크립트를 포함하여 디바이스의 정책을 준수하는 실행 가능한 코드만 실행할 수 있습니다. 정책에서 허용된 애플리케이션을 활용하는 바이패스는 범위에 속하지 않습니다. 관리 권한을 요구하는 바이패스는 범위에 속하지 않습니다.

ID 및 액세스 제어

Windows Hello/생체 인식 공격자가 사용자를 가장하기 위해 NGC(차세대 자격 증명)를 스푸핑, 피싱 또는 위반할 수 없습니다.

ID 및 액세스 제어

Windows 리소스 액세스 제어 명시적으로 권한이 부여된 경우에만 ID(사용자, 그룹)가 리소스(파일, 명명된 파이프 등)에 액세스하거나 변조할 수 있습니다.

암호화 API: 차세대(CNG)

플랫폼 암호화 사양(예: NIST)에 따라 알고리즘이 구현되며 중요한 데이터를 유출하지 않습니다.

상태 증명

HGS(호스트 보호 서비스) 다운스트림 암호화 작업에 필요한 상태 클레임을 발급하거나 보유한 호출자의 ID 및 상태를 평가합니다.

인증 프로토콜

인증 프로토콜 사양에 따라 프로토콜이 구현되며, 공격자가 중요한 데이터를 변조 또는 공개하거나 상승된 권한을 얻기 위해 사용자를 가장할 수 없습니다.

심층 방어 보안 기능

보안 기능이 위협으로부터 보호 기능을 제공하지만 강력한 방어를 제공할 수는 없는 경우도 있습니다. 이러한 보안 기능은 추가 보안을 제공하지만 위협을 완전히 완화할 수 없도록 하는 의도적인 제한이 있을 수 있으므로 일반적으로 심층 방어 기능 또는 완화라고 합니다. 공격자가 보안 경계에 영향을 주는 취약성도 발견해야 하거나, 소셜 엔지니어링 같은 추가 기술을 사용하여 디바이스 손상의 초기 단계를 달성해야 하기 때문에 심층 방어 보안 기능을 위한 바이패스 자체는 직접적인 위험이 되지 않습니다.
 
다음 표에는 Microsoft에서 정의되었으며 서비스 계획이 없는 심층 방어 보안 기능이 요약되어 있습니다. 이러한 보안 기능에 영향을 주는 취약성 또는 바이패스는 기본적으로 서비스되지 않지만 향후 버전이나 릴리스에서 해결될 수도 있습니다. 대부분의 기능은 각 제품 릴리스에서 지속적으로 개선되고 있으며, 활성 버그 신고 장려금 프로그램도 적용됩니다.
 
심층 방어 보안 기능이 기본적으로 서비스 조건을 충족하지 않는 종속성을 사용하는 경우도 있습니다. 이 경우 심층 방어 보안 기능도 기본적으로 서비스 조건을 충족하지 않습니다. PPL(보호된 프로세스 표시등)로 보호된 VMWP(가상 머신 작업자 프로세스) 또는 커널을 손상할 수 없는 관리자에 대한 종속성을 사용하는 보호된 가상 머신에서 이러한 예를 확인할 수 있습니다. 이 경우 관리자-커널 및 PPL은 기본적으로 처리되지 않습니다.

범주

보안 기능

보안 목표

서비스 의도 여부

장려금 여부

사용자 안전

UAC(사용자 계정 컨트롤) 관리자가 동의하지 않은 불필요한 시스템 차원의 변경(파일, 레지스트리 등) 방지 아닙니다. 아닙니다.

사용자 안전

AppLocker 권한 없는 애플리케이션 실행 방지 아닙니다. 아닙니다.

사용자 안전

제어된 폴더 액세스 악의적일 수 있는 앱의 제어된 폴더 액세스 및 수정 방지 아닙니다. 아닙니다.

사용자 안전

MOTW(웹 표시) 로컬에서 볼 때 권한이 상승되지 않도록 웹의 활성 콘텐츠 다운로드 보호 아닙니다. 아닙니다.

익스플로잇 완화

DEP(데이터 실행 방지) 공격자가 힙, 스택 등의 실행 불가능한 메모리에서 코드를 실행할 수 없음 아닙니다.

익스플로잇 완화

ASLR(Address Space Layout Randomization) 공격자가 프로세스 가상 주소 공간의 레이아웃을 예측할 수 없음(64비트) 아닙니다.

익스플로잇 완화

KASLR(Kernel Address Space Layout Randomization) 공격자가 커널 가상 주소 공간의 레이아웃을 예측할 수 없음(64비트) 아닙니다. 아닙니다.

익스플로잇 완화

ACG(임의 코드 보호) ACG 사용 프로세스에서 코드 페이지를 수정하거나 새 프라이빗 코드 페이지를 할당할 수 없음 아닙니다.

익스플로잇 완화

CIG(코드 무결성 보호) CIG 사용 프로세스에서 잘못 서명된 실행 가능 이미지(DLL)를 직접 로드할 수 없음 아닙니다.

익스플로잇 완화

CFG(제어 흐름 보호) CFG로 보호된 코드는 유효한 간접 호출 대상을 간접 호출할 수만 있음 아닙니다. 아닙니다.

익스플로잇 완화

자식 프로세스 제한 이 제한을 사용하도록 설정하면 자식 프로세스를 만들 수 없음 아닙니다.

익스플로잇 완화

SafeSEH/SEHOP 예외 처리기 체인의 무결성을 손상할 수 없음 아닙니다.

익스플로잇 완화

힙 임의 지정 및 메타데이터 보호 힙 메타데이터의 무결성을 손상할 수 없으며 공격자가 힙 할당의 레이아웃을 예측할 수 없음 아닙니다.

익스플로잇 완화

WDEG(Windows Defender Exploit Guard) 앱에서 취약성을 악용하기 어렵게 만드는 추가적인 심층 방어 익스플로잇 완화 기능을 사용할 수 있도록 허용 아닙니다. 아닙니다.

플랫폼 잠금

PPL(보호된 프로세스 표시등) 비관리 비 PPL 프로세스가 개방형 프로세스 함수를 통해 PPL 프로세스의 코드 및 데이터에 액세스하거나 변조할 수 없도록 방지 아닙니다. 아닙니다.

플랫폼 잠금

가상 컴퓨터 보호 호스트에서 실행되는 악성 패브릭 관리자 또는 맬웨어의 런타임 및 오프라인 공격으로부터 VM의 비밀 및 데이터 보호 아닙니다. 아닙니다.