새로운 윈도우 프린트 스풀러 내 제로데이 취약점 발견

 

 

New Windows print spooler zero day exploitable via remote print servers

 

윈도우 프린트 스풀러에서 또 다른 제로데이 취약점이 발견되었습니다. 이를 악용한 공격자는 공격자가 제어하는 원격 서버와 '대기열 별 파일(Queue-Specific Files)' 기능을 통해 윈도우 기기에서 관리자 권한을 얻어낼 수 있습니다.

 

지난달, 한 보안 전문가는 의도치 않게 윈도우 프린트 스풀러에 존재하는 제로데이인 PrintNightmare(CVE-2021-34527)를 공개했습니다.

 

공격자가 이 취약점을 악용할 경우 시스템 내에서 권한을 상승시키거나 원격으로 코드를 실행할 수 있습니다.

 

마이크로소프트는 이 취약점을 수정하는 보안 업데이트를 공개했지만, 연구원들은 해당 패치가 특정 조건에서 우회 가능하다고 판단했습니다.

 

이후 연구원들은 윈도우의 프린팅 API를 자세히 조사했으며, 윈도우 프린트 스풀러에 존재하는 취약점을 추가로 발견할 수 있었습니다.

 

 

원격 프린트 서버, 공격에 악용돼

 

보안 연구원이자 Mimikatz 제작자인 Benjamin Delpy는 공격자가 제어하는 원격 프린트 서버를 통해 윈도우 기기에서 SYSTEM 권한을 쉽게 얻어낼 수 있는 새로운 제로데이 취약점을 공개했습니다.

 

 

<이미지 출처 : https://twitter.com/gentilkiwi/status/1416079316673339392>

 

  

Delpy는 Bleeping Computer과의 인터뷰에서 그의 익스플로잇이 클라이언트가 공격자가 제어하는 프린트 서버에 연결하면 Windows Point and Print의 '대기열 별 파일' 기능을 통해 악성 DLL을 자동으로 다운로드 및 실행한다고 밝혔습니다.

 

마이크로소프트의 대기열 별 파일 문서에서는 해당 기능에 대해 아래와 같이 설명했습니다.

 

“프린트 설치 시, 공급업체가 제공한 설치 어플리케이션은 특정 인쇄 대기열과 연결될 모든 파일 유형 세트를 지정할 수 있습니다. 파일은 프린트 서버에 연결하는 각 클라이언트에 다운로드됩니다.”

 

연구원들은 이 취약점 악용을 위해 '대기열 별 파일' 기능을 사용하는 공유 프린터 두 대로 인터넷에서 접근이 가능한 프린트 서버를 생성했습니다.

 

 

<이미지 출처: Delpy>

< 대기열 별 파일 레지스트리 구성>

 

  

악성 DLL이 SYSTEM 권한으로 실행되며, 컴퓨터에서 모든 명령을 실행하는데 악용될 수 있습니다.

 

CERT/CC의 취약점 분석가인 Will Dormann은 이 취약점에 대한 추가 정보를 제공하는 권고를 발표했습니다.

 

이 취약점이 더욱 위험한 이유는 모든 윈도우 버전에 영향을 미치고, 공격자가 네트워크에서 제한된 접근 권한을 얻고 취약한 기기에서 SYSTEM 권한을 즉시 획득할 수 있기 때문입니다.

 

공격자는 이 접근 권한을 통해 도메인 컨트롤러에 접근할 수 있을 때까지 네트워크를 통해 측면 이동이 가능합니다.

 

Bleeping Computer는 이 공격을 시연한 영상을 공개했습니다.

 

새로운 프린터 취약점 완화하기

 

다행히도 Delpy와 Dormann이 이 새로운 ‘대기열 별 파일’ 취약점을 완화할 수 있는 방법 2가지를 공유했으며, 이 두 방법 모두 CERT의 권고에 요약되어 있습니다.

 

방법 1. 네트워크 경계에서 아웃바운드 SMB 트래픽 차단

 

Delpy의 공개 익스플로잇은 원격 인쇄 서버를 사용하기 때문에 아웃바운드 SMB 트래픽을 차단해 원격 컴퓨터에 대한 접근을 방지할 수 있습니다.

 

하지만 Dormann은 MS-WPRN을 사용하여 SMB를 사용하지 않고 드라이버를 설치하는 것이 가능하며, 공격자는 로컬 프린터 서버에서 이 기술을 계속해서 사용할 수 있다고 밝혔습니다.

 

방법 2. PackagePointAndPrintServerList 구성하기

 

이 익스플로잇을 예방할 수 있는 더 나은 방법은 'Package Point and print - Approved servers' 그룹 정책을 사용하여 Point and Print를 승인된 서버 목록으로 제한하는 것입니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/>

<'Package Point and print - Approved servers' 정책>

 

 

이 정책은 관리자가 아닌 사용자가 승인된 목록에 프린트 서버가 없는 경우 이를 지정하여 프린트 드라이버를 설치하는 것을 방지합니다.

 

이 그룹 정책은 현재까지 알려진 익스플로잇을 예방할 수 있는 최선의 방법입니다.

 

마이크로소프트는 아직까지 이 문제와 관련하여 답변을 하지 않은 상태입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/

https://www.kb.cert.org/vuls/id/131152