상세 컨텐츠

본문 제목

제 2의 "워너크라이" 사태가 가능한 새로운 SMB 취약점(CVE-2020-0796) 발견!

국내외 보안동향

by 알약(Alyac) 2020. 3. 11. 09:37

본문

취약점 내용


MS SMB 프로토콜의 메모리 파괴 취약점으로, 인증을 거치치 않은 공격자가 원격에서 해당 취약점을 악용하여 웜(worm)과 같은 공격 효과를 가져올 수 있는 취약점입니다. 


해당 취약점은 OS가 SMB 3.1.1 프로토콜의 압축패킷을 처리하는 과정에서 오류가 발생하여 야기되는 취약점으로, 공격자는 조작된 패킷을 악용하여 원격에서 인증을 거치치 않은 상태로 원격코드실행이 가능합니다. 


또한 직접 SMB 서버를 직접 공격하여 RCE 취약점을 악용할 수 있을 뿐만 아니라, SMB 클라이언트를 공격하여 공격자가 특정한 웹페이지, 압축파일, 공유파일, office 문서등을 조작하는 방식으로 취약점을 트리거 할 수 있습니다.  


해당 취약점은 그 위험성이 EternalBlue, NotPetya, WannaCry, 또는 MS17-010과 대등한 것으로 보이며, MBGhost, DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue, NexternalBlue 라는 이름을 붙이고 있습니다. 



취약점 번호


CVE-2020-0796 



영향받는 버전


Windows10 1903 이후의 32비트, 64비트 버전(홈, 프로, 엔터프라이즈, 에듀케이션 모두 포함)

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)


* 윈도우(Windows)7은 영향 받지 않음. 



조치방법


1) 윈도우 보안 업데이트(자동)

윈도우 설정 > 업데이트 및 보안 > 윈도우 업데이트


2) 윈도우 보안업데이트 (수동)

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762


3) 445 TCP 포트 차단 및 SMB v3 압축 비활성화 (임시조치)

시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

 ※ 설정 변경 후 재부팅 불필요


 

 SMBv3 설정 복구 방법(MS의 업데이트 공개 시, 복구 후 패치 진행)

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force





참고 : 

https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/

https://fortiguard.com/encyclopedia/ips/48773

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35295

저작자표시

'국내외 보안동향' 카테고리의 다른 글

MS, 전 세계 900만대의 Necurs 봇넷 성공적으로 차단해  (0) 2020.03.11
Paradise 랜섬웨어, 스팸 첨부파일을 통해 배포돼  (0) 2020.03.11
AMD 프로세서, 새로운 사이드 채널 공격이 가능한 2개의 취약점 발견!  (0) 2020.03.10
데비안(Debian) 리눅스, 지난 20년 동안 가장 많은 취약점이 발견된 운영체제  (0) 2020.03.10
Ryuk 랜섬웨어, 노스 캐롤라이나 주 더럼시 공격해  (0) 2020.03.10

관련글 더보기

댓글 영역

티스토리툴바