모든 윈도우 버전에서 사용자 세션을 탈취할 수 있는 기술 발견 돼

모든 윈도우 버전에서 사용자 세션을 탈취할 수 있는 기술 발견 돼

New (but Old) Technique Hijacks User Sessions on All Windows Versions

최근 보안연구원이 암호를 모르는 상태에서 컴퓨터의 모든 계정에 로그인 할 수 있는 방법을 발견하였습니아. 이 트릭은 모든 윈도우 버전에서 작동하며, 특별한 권한을 필요로 하지도 않습니다. 이 연구원은 이 것이 윈도우의 기능인지 아니면 보안 결점인지 알 수 없다고 밝혔습니다. 

이번에 발견한 공격은 "권한 상승 및 세션 하이재킹"으로, 장치에 물리적으로 접근해 실행할 수도 있지만, 해킹된 장비에서 공격자의 접근 권한을 상승시켜 RDP 세션을 통해서 실행될 수 있습니다. 

모든 사용자가 자신들의 권한을 상승시키고 PC에 활성화 된 다른 사용자 세션으로 바꾸기 위해 모든 윈도우 버전에 내장 된 CLI 명령어를 사용할 수 있습니다. 

공격이 동작하려면 우선 대상계정은 동일한 계정에 로그인 되어 있어야 합니다. 공격자는 자신의 계정에서 명령프롬프트를 실행하고 로그인 하고자 하는 활성화된 사용자 세션을 선택하면, 어떠한 패스워드도 요구하지 않습니다. 이 공격방법은 로컬 사용자 세션 뿐만 아니라 RDP 세션에서도 동작합니다. 

이 공격 방식을 발견한 보안 연구원은 이 방식은 완전히 새로운 것은 아니며, 오래된 공격의 확장 버전인 것으로 보인다고 밝혔습니다. 

지난 2011년, 프랑스 은행 보안연구원인 Benjamin Delpy는 자신의 블로그에 이와 매우 유사한 사용자 세션 하이재킹 기술을 설명한 적이 있었습니다. 

이 블로그 포스팅이 업로드 된 시점을 고려해 볼 때, 6년동안 MS가 이 문제에 대해 알지 못했을 가능성은 희박하며, 이는 MS가 이 기능을 보안 결함으로 생각하지 않았을 것으로 추정됩니다. 

다음은 해당 공격방식을 어떻게 활용할 수 있을 지 구상해 본 공격시나리오 입니다. 

은행 직원들 중 일부는 빌링 시스템에 접근할 수 있으며, 로그인 하려면 계정정보가 필요하다.

그는 출근해 빌링 시스템에 로그인한 후 일을 시작했다. 점심 시간이 되어 워크 스테이션을 잠근 후 점심을 먹으러 나갔다.

이후, 시스템 관리자는 해당 직원의 워크스테이션으로 가 그의 관리자 계정으로 로그인한다.

은행의 정책에 따르면, 관리자의 권한은 빌링 시스템에 대한 접근 권한이 없어야 하지만 윈도우에 내장 된 몇 개의 기능을 이용하면 이 시스템 관리자가 해당 직원의 데스크탑을 잠긴 상태에서도 하이잭할 수 있다. 이제부터는 시스템 관리자가 빌링 시스템에서 해당 직원의 계정으로 악성 행위를 할 수 있게 된다.

공격 시 로컬에 내장 된 윈도우 툴을 사용하기 때문에, 공격자는 대상 컴퓨터에서 다른 멀웨어를 다운로드 할 필요가 없다.

출처 : 

https://www.bleepingcomputer.com/news/security/new-but-old-technique-hijacks-user-sessions-on-all-windows-versions/