New Windows print spooler zero day exploitable via remote print servers
윈도우 프린트 스풀러에서 또 다른 제로데이 취약점이 발견되었습니다. 이를 악용한 공격자는 공격자가 제어하는 원격 서버와 '대기열 별 파일(Queue-Specific Files)' 기능을 통해 윈도우 기기에서 관리자 권한을 얻어낼 수 있습니다.
지난달, 한 보안 전문가는 의도치 않게 윈도우 프린트 스풀러에 존재하는 제로데이인 PrintNightmare(CVE-2021-34527)를 공개했습니다.
공격자가 이 취약점을 악용할 경우 시스템 내에서 권한을 상승시키거나 원격으로 코드를 실행할 수 있습니다.
마이크로소프트는 이 취약점을 수정하는 보안 업데이트를 공개했지만, 연구원들은 해당 패치가 특정 조건에서 우회 가능하다고 판단했습니다.
이후 연구원들은 윈도우의 프린팅 API를 자세히 조사했으며, 윈도우 프린트 스풀러에 존재하는 취약점을 추가로 발견할 수 있었습니다.
원격 프린트 서버, 공격에 악용돼
보안 연구원이자 Mimikatz 제작자인 Benjamin Delpy는 공격자가 제어하는 원격 프린트 서버를 통해 윈도우 기기에서 SYSTEM 권한을 쉽게 얻어낼 수 있는 새로운 제로데이 취약점을 공개했습니다.
Delpy는 Bleeping Computer과의 인터뷰에서 그의 익스플로잇이 클라이언트가 공격자가 제어하는 프린트 서버에 연결하면 Windows Point and Print의 '대기열 별 파일' 기능을 통해 악성 DLL을 자동으로 다운로드 및 실행한다고 밝혔습니다.
마이크로소프트의 대기열 별 파일 문서에서는 해당 기능에 대해 아래와 같이 설명했습니다.
“프린트 설치 시, 공급업체가 제공한 설치 어플리케이션은 특정 인쇄 대기열과 연결될 모든 파일 유형 세트를 지정할 수 있습니다. 파일은 프린트 서버에 연결하는 각 클라이언트에 다운로드됩니다.”
연구원들은 이 취약점 악용을 위해 '대기열 별 파일' 기능을 사용하는 공유 프린터 두 대로 인터넷에서 접근이 가능한 프린트 서버를 생성했습니다.
< 대기열 별 파일 레지스트리 구성>
악성 DLL이 SYSTEM 권한으로 실행되며, 컴퓨터에서 모든 명령을 실행하는데 악용될 수 있습니다.
CERT/CC의 취약점 분석가인 Will Dormann은 이 취약점에 대한 추가 정보를 제공하는 권고를 발표했습니다.
이 취약점이 더욱 위험한 이유는 모든 윈도우 버전에 영향을 미치고, 공격자가 네트워크에서 제한된 접근 권한을 얻고 취약한 기기에서 SYSTEM 권한을 즉시 획득할 수 있기 때문입니다.
공격자는 이 접근 권한을 통해 도메인 컨트롤러에 접근할 수 있을 때까지 네트워크를 통해 측면 이동이 가능합니다.
Bleeping Computer는 이 공격을 시연한 영상을 공개했습니다.
새로운 프린터 취약점 완화하기
다행히도 Delpy와 Dormann이 이 새로운 ‘대기열 별 파일’ 취약점을 완화할 수 있는 방법 2가지를 공유했으며, 이 두 방법 모두 CERT의 권고에 요약되어 있습니다.
방법 1. 네트워크 경계에서 아웃바운드 SMB 트래픽 차단
Delpy의 공개 익스플로잇은 원격 인쇄 서버를 사용하기 때문에 아웃바운드 SMB 트래픽을 차단해 원격 컴퓨터에 대한 접근을 방지할 수 있습니다.
하지만 Dormann은 MS-WPRN을 사용하여 SMB를 사용하지 않고 드라이버를 설치하는 것이 가능하며, 공격자는 로컬 프린터 서버에서 이 기술을 계속해서 사용할 수 있다고 밝혔습니다.
방법 2. PackagePointAndPrintServerList 구성하기
이 익스플로잇을 예방할 수 있는 더 나은 방법은 'Package Point and print - Approved servers' 그룹 정책을 사용하여 Point and Print를 승인된 서버 목록으로 제한하는 것입니다.
<'Package Point and print - Approved servers' 정책>
이 정책은 관리자가 아닌 사용자가 승인된 목록에 프린트 서버가 없는 경우 이를 지정하여 프린트 드라이버를 설치하는 것을 방지합니다.
이 그룹 정책은 현재까지 알려진 익스플로잇을 예방할 수 있는 최선의 방법입니다.
마이크로소프트는 아직까지 이 문제와 관련하여 답변을 하지 않은 상태입니다.
출처:
Hellokitty 랜섬웨어, 취약한 SonicWall 기기 노려 (0) | 2021.07.19 |
---|---|
Linux Netfilter 권한상승 취약점(CVE-2021-22555) 주의! (0) | 2021.07.19 |
HelloKitty 랜섬웨어, VMware ESXi 서버 노려 (0) | 2021.07.16 |
패치되지 않은 EOL SonicWall SMA 100 VPN, 랜섬웨어 공격에 취약해 (0) | 2021.07.16 |
Sodinokibi 랜섬웨어의 인프라와 웹사이트 운영 중단돼 (0) | 2021.07.15 |
댓글 영역