상세 컨텐츠

본문 제목

SMBleed: 윈도우 SMB 프로토콜에 영향을 미치는 새로운 치명적인 취약점 발견

국내외 보안동향

by 알약(Alyac) 2020. 6. 10. 09:30

본문

SMBleed: A New Critical Vulnerability Affects Windows SMB Protocol


사이버 보안 연구원들이 SMB(Server Message Block) 프로토콜에 영향을 미치는 치명적인 취약점을 발견했습니다. 


공격자가 이를 악용할 경우 원격으로 커널 메모리를 유출할 수 있으며 이전에 공개된 웜 취약점과 병행할 경우 원격 코드 실행 공격까지 가능한 것으로 나타났습니다.


"SMBleed(CVE-2020-1206)"라 명명된 이 취약점은 SMB의 압축 해제 기능에 존재합니다.


이는 취약한 윈도우 시스템을 네트워크를 통해 확산되는 악성코드 공격에 노출시키는 3개월 전 밝혀진 SMBGhost 또는 EternalDarkness 취약점(CVE-2020-0796)에 존재했던 것과 동일한 기능입니다.


새로이 발견된 이 취약점은 윈도우 10 버전 1903과 1909에 영향을 미치며, 마이크로소프트는 6월 ‘패치 화요일’을 통해 이 취약점을 수정하는 보안 패치를 발행했습니다.


CISA는 SMBGhost 취약점의 익스플로잇 코드가 공개된 후 지난주 경고를 발행해 윈도우 10 사용자들에게 업데이트를 진행할 것을 권장했습니다.


SMBGhost는 매우 심각한 위협을 초래할 수 있어 심각도 점수 만점인 10점을 받았습니다.

 


<이미지 출처: https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html>



CISA는 마이크로소프트가 이 취약점에 대한 업데이트를 2020년 3월 공개했지만, 최근 여러 보고에 따르면 공격자들은 새로운 PoC를 통해 패치되지 않은 시스템을 노리고 있는 것으로 나타났다고 밝혔습니다.


TCP 포트 445를 통해 실행되는 SMB는 파일 공유, 네트워크 브라우징, 프린팅 서비스, 네트워크를 통한 인터프로세스 통신을 위한 기반을 제공하는 네트워크 프로토콜입니다.


ZecOps 연구원들에 따르면, 이 취약점은 "Srv2DecompressData" 압축 해제 기능이 타깃 SMBv3 서버로 전송된 특수 제작된 메시지 요청을 처리하는 방식에 존재합니다. 


공격자는 초기화되지 않은 커널 메모리를 읽고 해당 압축 기능을 수정할 수도 있습니다. 메시지 구조에는 쓰기 및 플래깅, 가변 길이 버퍼를 위한 바이트가 포함되어 있습니다.


헤더를 명시하지만 가변 길이 버퍼는 초기화되지 않은 데이터를 포함하는 메시지를 생성할 수 있기 때문에 취약점을 악용하기에 완벽한 조건입니다.


이 취약점을 성공적으로 악용한 공격자는 사용자 시스템을 추가로 해킹할 수 있는 정보를 얻을 수 있습니다. 


인증되지 않은 공격자가 이 취약점을 서버에 악용하기 위해서는 특수 제작된 패킷을 타깃 SMBv3 서버로 보내면 됩니다.


이 취약점을 클라이언트에 악용하고자 할 경우, 인증되지 않은 공격자는 악성 SMBv3 서버를 구성하고 사용자가 연결하도록 속이면 됩니다.



<이미지 출처: https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html>



또한 패치되지 않은 윈도우 10 시스템에서 SMBleed와 SMBGhost가 함께 악용될 경우 원격 코드 실행이 가능해집니다. 연구원들은 이를 증명하는 PoC 코드를 공개했습니다.

 


<이미지 출처: https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html>



이 취약점을 완화하기 위해서는 개인 및 기업 사용자가 최신 윈도우 업데이트를 최대한 빨리 설치해야 합니다.


시스템에 패치 적용이 불가능한 경우 측면 이동 및 원격 악용을 예방하기 위해 포트 445를 차단할 것을 권장합니다.


마이크로소프트에 대한 보안 지침은 [1, 2]에서 확인하실 수 있습니다.





출처:

https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html

https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/

관련글 더보기

댓글 영역