Winshock 취약점(CVE-2014-6321) 발견... 점검 및 패치 방법

Winshock 취약점 (CVE-2014-6321) 발견... 점검 및 패치 방법

모든 버전의 MS윈도우 서버에서 SSL/TLS통신을 할 때 필요한 schannel.dll파일에서 원격코드실행 취약점이 발견되었습니다. Winshock취약점은 올 봄에 발견된 하트블리드 취약점보다 더 치명적입니다. 하트블리드 취약점은 서버에서 기밀정보를 유출하지만, Winshock취약점은 서버에서 공격자가 원하는 코드를 실행시킬 수 있기 때문입니다. 

MS측에서는 현재 해당 취약점에 대한 자세한 내용을 공개하지 않고 있습니다. 그 이유로는 아직 공격자들이 해당 취약점 원리에 대하여 자세히 알지 못하고 있는데 이 상황에서 해당 내용에 대해 공개해 버린다면, 그들이 MS가 발표한 내용을 기반으로 exploit code를 개발할 수 있기 때문인 것으로 보입니다.

Winshock 취약점 원인

Winshock 취약점은 Secure channel(Schannel)의 schannel.dll에서 발견된 취약점입니다.

schannel.dll은 128bit의 암호화 함수를 갖고 있는 라이브러리로, SSL/TLS 세션패킷 처리와 관련된 API함수를 처리하는 과정에서 발생하는 버퍼오버플로우 취약점입니다. 공격자는 패킷을 기형으로 변조하여 공격을 진행하며, 기형된 패킷을 받은 서버는 버퍼오버 플로우가 일어나면서 특정 쉘코드가 실행됩니다.

 

Winshock 공격을 통하여 공격자는 임의의 코드를 실행시킬 수 있으며, 윈도우에서 제공하는 보안장치들을 우회할 수도 있습니다.

Secure Channel이란?

Secure Channel이란 Secure Channel Security Package를 구성하고 있는 한 개의 모듈로서, 주요 기능은 Client와 Server사이에서 인증역할을 해주는 서비스입니다.

openssl원리와 유사하며, Secure Channel은 SSL/TLS 프로토콜이 제대로 구현되도록 도와주는 파일입니다.

Winshock 취약점 점검 방법

C:\Windows\Systen32 하위에 있는 schannel.dll버전을 확인하여 취약한 버전인지 확인한 후, 취약한 버전이라면 패치가 된 버전으로 업데이트해야 합니다.

※ cmd명령어 창을 이용하는 방법

wmic datafile where name=”c:\\Windows\\System32\\schannel.dll” get version

※ 직접 파일 버전을 확인하는 방법

c:\Windows\System32 위치에서 schannel.dll 속성확인

※ 취약하지 않은 버전 

버전이 아래 버전정보보다 일치하지 않다면 취약점이 존재하는 것입니다.

Windows Server 2003

Schannel.dll    5.2.3790.5462

Windows Server 2008 x86 

Schannel.dll    5.2.3790.5462  

Windows Server 2008 x64  

Schannel.dll    6.0.6002.19193

Windows Server 2012  x64 

Schannel.dll    6.2.9200.17124

Windows Server 2012 R2 x64

Schannel.dll    6.3.9600.17385

※ 취약점 점검 툴

https://isc.sans.edu/diaryimages/MSFT1466test.sh

Winshock 취약점 패치 방법

1. 윈도우 자동 업데이트

2. 수동 업데이트 

http://www.microsoft.com/ko-kr/search/DownloadsDrillInResults.aspx?q=kb2992611&cateorder=2