마이크로소프트 윈도우 디펜더를 무력화하는 제로데이 취약점으로, UnDefend 라는 연구자가 공개한 코드가 실제 악용되면서 관심이 집중되었다. 해당 취약점은 Microsoft Defender 안티멀웨어 플랫폼에 영향을 주는 서비스 거부(DoS) 취약점으로, 악용 시 실시간 보호 기능을 의도적으로 충돌시키거나 멈추게 하거나 비활성화할 수 있다. 야생에서의 악용이 보고되고 있으며, 연구자 제보 과정에서의 소통 문제와 이에 대한 업체의 반응이 논란을 낳았다. 취약점은 Defender 정의 업데이트 디렉터리와 관련 파일의 동작을 제약 없이 차단하는 방식으로 작동한다는 점이 핵심이다.
공격 흐름은 다음과 같이 요약된다. Defender 정의 업데이트 디렉터리를 감시하기 위해 디렉터리 변경 알림을 활용하고 새로이 나타난 정의 파일을 열고 잠금한다. mpavbase.lkg 와 mpavbase.vdm 같은 백업 파일은 시작 시 즉시 잠김으로써 예비 상태에서도 보호가 우회될 가능성을 줄이는 대신, 이들 파일이 잠금 상태에 들어가면 Defender의 정상 동작에 영향을 준다. 전역 핸들 추적 구조를 초기화한 뒤 레지스트리 키에서 ProductAppDataPath 값을 읽어 Windows Defender 데이터 경로를 확보하고, 해당 경로에 Definition Updates 경로를 붙여 모니터링 대상으로 삼는다.
심층 모니터링은 다층으로 진행된다. first로 Windows Defender 서비스 상태를 관찰하는 WDKillerThread를 생성하고, 서비스가 중지되면 WDKillerCallback이 호출된다. 이어 MRT 감시 스레드인 MRTWorkerThread가 실행되어 MRT 경로를 통해 Microsoft Malicious Software Removal Tool의 동작을 감시한다. 디렉터리의 파일 크기 변경 이벤트가 발생하면 새로운 스레드가 생성되며, Defender 정의 업데이트 파일의 수정 여부를 즉시 확인하고 해당 파일을 열고 잠그려 시도하는 흐름이 반복된다. 이와 함께 정의 업데이트 디렉터리의 FILE_NOTIFY_CHANGE_SIZE 조건을 통해 변경 이벤트를 탐지한다.
핵심 대상은 Windows Defender 서비스인 WinDefend, Defender 설정 및 데이터 경로를 포함하는 HKLM\SOFTWARE\Microsoft\Windows Defender 및 Definition Updates 경로다. mpavbase.vdm 와 mpavbase.lkg 는 보안 제품의 정의 데이터 파일로, 장시간 잠김 현상을 유발할 수 있는 포인트로 지목된다. 이번 취약점은 CVE-2026-45498로 분류되며 6월 보안 업데이트를 통해 해결 여부가 결정될 전망이다. 패치가 나올 때까지는 Defender를 사용하는 환경에서 주의가 요구된다.
