RDP 세션의 윈도우 잠금 화면을 우회하는 제로데이 취약점 발견

Unpatched Bug Let Attackers Bypass Windows Lock Screen On RDP Sessions

한 보안 연구원이 금일 마이크로소프트 윈도우의 RDP(원격 데스크톱 프로토콜)에서 패치되지 않은 새로운 취약점에 대한 세부 사항을 공개했습니다.

CVE-2019-9510으로 등록된 이 취약점은 클라이언트 측 공격자가 원격 데스크톱 세션의 잠금 화면을 우회해 연결된 기기로 접근을 허용할 수 있는 것으로 나타났습니다.

<이미지 출처: https://thehackernews.com/2019/06/rdp-windows-lock-screen.html>

CVE-2019-9510 취약점은 Carnegie Mellon University 소프트웨어 엔지니어링 연구소(SEI)의 Joe Tammariello가 발견했습니다.

이 취약점은 마이크로소프트 윈도우 원격 데스크톱 기능에서 클라이언트가 네트워크 수준 인증(NLA)을 통해 인증할 것을 요구할 때 발생합니다.

이 기능은 최근 치명적인 BlueKeep RDP 취약점을 완화시키기 위한 대안으로 마이크로소프트가 추천한 기능입니다.

CERT/CC의 취약점 분석가인 Will Dormann에 따르면, 클라이언트가 서버에 연결되어 있고 로그인 스크린이 잠긴 상태에서 해당 취약점을 악용할 수 있다고 설명했습니다.

위의 상태에서 임시 RDP 연결을 끊고 RDP 세션에 재연결하면, 원격 시스템에 관계없이 잠금이 해제된 상태에서 세션이 복구되는 것으로 나타났습니다.

윈도우 10 버전 1803 및 윈도우 서버 2019부터 NLA 기반 RDP 세션의 윈도우 RDP 처리 방식이 변경되어 세션 잠금과 관련하여 예기치 않은 동작을 발생시킬 수 있게 되었습니다.

Duo Security MFA와 같이 윈도우 로그인 스크린에 통합된 이중 인증 시스템 또한 이 메커니즘을 통해 우회될 수 있습니다. 

또한, 조직에서 사용하는 모든 로그인 배너들 역시 우회될 수 있습니다.

CERT는 아래와 같은 공격 시나리오를 설명했습니다:

- 타깃 사용자가 RDS를 통해 윈도우 10 또는 서버 2019 시스템에 연결

- 해당 사용자가 원격 세션을 잠그고 클라이언트 기기에서 자리를 비움

- 이때, 클라이언트 기기에 접근 가능한 공격자는 네트워크 연결을 방해해, 크리덴셜이 없이도 원격 시스템에 접근 권한을 얻을 수 있음

공격자는 타깃 시스템의 네트워크 연결만 방해하면 되기 때문에 이 취약점을 악용하는 것은 매우 간단합니다.

하지만, 공격자가 타깃 시스템에 물리적으로 접근해야 하므로(잠금 화면이 뜬 활성 세션) 이 시나리오에서는 공격 가능 대상이 크게 감소합니다.

Tammariello는 지난 4월 19일 마이크로소프트에 이 취약점에 대해 제보했지만, 윈도우의 보안 서비스 기준을 충족하지 않는다는 답변을 받았습니다. 

즉 마이크로소프트는 이 문제를 즉시 패치할 계획이 없다는 이야기입니다.

사용자들은 원격 시스템 대신 로컬 시스템을 잠그거나, 원격 데스크톱 세션을 잠그는 대신 연결을 해제하여 이 취약점을 악용한 공격으로부터 보호받을 수 있습니다.

출처:

https://thehackernews.com/2019/06/rdp-windows-lock-screen.html

https://kb.cert.org/vuls/id/576688/