상세 컨텐츠

본문 제목

MS는 20년동안 존재했던 SMB 취약점에 대해 수정하지 않겠다고 밝혔다

국내외 보안동향

by 알약(Alyac) 2017. 8. 3. 17:30

본문

최근 RiskSense 보안연구원은 20년동안 존재하던 Windows SMB 취약점을 발견하였으며, 이를 SMBloris라 명명하였습니다. 


Slowloris와 SMBloris는 서버를 무력화 시킬 수 있으나, 다른점은 SMBloris는 Web서버만을 타겟으로 하고 있다는 점입니다. 


이번 SMBloris 취약점은 WannaCry가 사용했던 SMB 취약점을 분석하는 과정에서를 발견하였습니다. 


이 취약점을 악용하면, 공격자는 20줄의 파이선 코드와 라즈베리파이를 이용하여 원격에서 윈도우 서버를 무력화 시킬 수 있습니다. 


하지만 MS는 해당 취약점에 대하여 수정하지 않겠다고 밝혔습니다. 


해당 공격은 서버의 가용한 메모리를 모두 할당하며, OS는 오랜 시간동안 메모리 목록에서 할당되지 않은 메모리를 찾습니다. 이러한 과정을 통하여 시스템을 다운시키는 것입니다. 


SMBLoris 공격방식은 DEFCON에서 공개되었습니다. 


MS는 Server Message Block(SMB)의 취약점은 인터넷에서 방화벽을 통해 차단할 수 있기 때문에 따로  20년동안 존재했던 SMB 취약점에 대해 수정하지 않겠다고 밝혔습니다. 



취약점 개요


해당 취약점은 Windows 2000 이후 버전에 존재하며, 해당 취약점을 악용하면 공격자가 오픈되어 있는 445,139 포트를 이용하여 공격 Windows 시스템에 특수하게 조작된 SMB 메모리 할당 요청 패킷을 전달함으로서, 대량으로 서버의 메모리를 고갈시키는 서비스 거부공격을 발생시킬 수 있습니다. 


영향범위


Windows 2000 이후의 모든 버전


조치방법


SMBv1 프로토콜 사용 중지 (▶ MS 홈페이지 참고)

SMB포틀를 사용해야 한다면, 화이트 리스트 기반의 접근통제 등의 방법을 통하여 위험 최소화









출처 :

http://securityaffairs.co/wordpress/61530/hacking/smbloris-smbv1-flaw.html

관련글 더보기

댓글 영역