CVE-2019-0708 RDP 취약점 이슈 악용 백도어 발견

CVE-2019-0708 RDP 취약점 이슈 악용 백도어 발견

마이크로소프트가 지난 5월 15일 발표한 월별 보안 업데이트 내용에 포함되어 있는 RDP취약점 (CVE-2019-0708)과 관련해서 패치가 되지 않은 상황에서의 파급력과 관련하여 많은 우려를 낳고 있습니다. 

때문에 마이크로소프트에서는 패치대상인 Windows7, Windows2008 R2, Windows2008 OS뿐만 아니라 이미 업데이트 지원이 끝난지 몇해가 지난 WindowsXP와 Windows2003 OS에 대해서도 수정사항을 별도 릴리즈하기도 했습니다.

※ 관련글 바로가기

▶ Microsoft, 웜 결함 및 기타 78개의 문제에 대한 패치 진행 (2019.05.15)

또한 많은 분석가들과 연구원들이 관련 POC를 인터넷상에 공개하고 있는 상황이기 때문에 이러한 POC를 활용한 공격이 발생할 가능성이 높아지고 있는 가운데, 해외 사이트에서 이번 CVE-2019-0708 취약점을 악용할 수 있는 POC를 바탕으로 공격도구를 만들었다는 정보를 수집하고 관련 내용에 대해 ESRC에서 분석을 진행했습니다.

1. 공격도구를 다운로드 받아 실행합니다. 2대의 Windows7 가상머신을 세팅 후 첫번째 환경에서 도구를 실행하여 두번째 환경에서 exploit이 작동하는 지 확인합니다.

[그림 1] CVE-2019-0708 취약점을 이용한다는 공격도구

2. 실제로 공격도구를 실행시키는 순간 FBI! Open the door!라는 메시지와 함께 군인이미지가 화면 가운데 뜨게 됩니다.

[그림 2] 공격도구의 attack버튼을 클릭시 화면에 플로팅되는 이미지

3. 공격도구가 실제로 공격을 진행하진 않으며, 대신 공격도구가 실행된 PC에 백도어를 설치하고 여러가지 정보를 수집하고 추가파일을 설치합니다. 

이번 케이스는 현재 시점까지는 CVE-2019-0708 취약점을 악용한 도구에 관심을 가지는 사람들 혹은 공격자들을 노리는 백도어 공격이라고 볼 수 있을 것 같습니다.

항상 공격자는 사람들이 관심을 가지는 이슈를 주제로 공격을 진행하곤 하므로 이점 다시 한번 유의하시길 바라며, 윈도우 RDP 원격코드 실행 취약점(CVE-2019-0708)에 대해서는 반드시 보안패치를 실시하시고, 보안패치가 여의치 않는 경우 임시방편으로 원격 데스크톱 기능의 비활성화 혹은 3389포트에 대한 차단 꼭 진행 부탁드립니다.

※ Microsoft 2019년 5월 보안패치 바로가기

▶ CVE-2019-0708 | Windows 7, Windows 2008 R2 및 Windows 2008 다운로드 바로가기

▶ CVE-2019-0708 | Windows 2003 및 Windows XP용 다운로드 바로가기

▶ CVE-2019-0863 | Windows 10, Windows 2008 R2 및 Windows Server 2016 다운로드 바로가기

해당 백도어에 대해서는 알약에서는 Backdoor.Agent.151552B로 탐지중입니다.