CISA, 도메인 컨트롤러에 5월 윈도우 업데이트 설치 금지 경고해

CISA warns not to install May Windows updates on domain controllers

 

윈도우의 보안 취약점을 패치하는 2022년 5월 업데이트로 인해 활성 디렉터리(AD) 인증 문제가 발생해 미 CISA가 악용된 취약점 카탈로그에서 해당 윈도우 보안 취약점을 제거했습니다.

 

이 보안 취약점은 CVE-2022-26925로 등록되었으며 활발히 악용되는 윈도우 LSA 스푸핑 제로데이 취약점으로, 새로운 PetitPotam의 윈도우 NTLM 릴레이 공격 벡터로 확인되었습니다.

 

인증되지 않은 공격자는 CVE-2022-26925를 악용하여 도메인 컨트롤러가 윈도우 NTLM(NT LAN Manager) 보안 프로토콜을 통해 원격으로 인증하고 전체 윈도우 도메인을 제어할 수 있습니다.

 

2022년 5월 보안 업데이트 및 AD 인증 이슈

 

마이크로소프트는 해당 취약점을 2022년 5월 ‘패치 화요일’을 통해 발표된 보안 패치의 일부로 다른 보안 취약점 74개와 함께 패치했습니다. 이 중에는 제로데이 취약점 2건도 포함되어 있었습니다.

 

하지만 윈도우 Kerberos 및 Active Directory 도메인 서비스(CVE-2022-26931, CVE-2022-26923)의 권한 상승 취약점 두 가지에 대한 패치는 윈도우 서버 도메인 컨트롤러에 배포할 경우 서비스 인증 문제를 일으킬 수도 있는 것으로 나타났습니다.

 

알려진 악용 취약점 카탈로그에서 제거되기 전 2021년 11월 발행된 BOD 22-01에 따르면, 모든 연방 민간 행정부 기관(FCEB)은 2022년 6월 1일까지 3주 이내에 보안 업데이트를 적용해야 했습니다.

 

마이크로소프트는 더 이상 ‘패치 화요일’을 통해 패치된 각 보안 문제에 대해 별도의 설치 프로그램을 제공하지 않기 때문에, 관리자는 보안 업데이트를 각각 설치할 수 없어 이번 달 보안 업데이트 전체를 설치할 경우 AD 인증 문제 또한 트리거됩니다.

 

CISA에서는 아래와 같이 언급했습니다.

 

"클라이언트 윈도우 장치 및 비 도메인 컨트롤러 윈도우 서버에 2022년 5월 10일 공개된 업데이트를 설치할 경우에는 이 문제가 발생하지 않으며, 여전히 권장되는 사항입니다.”

 

"이 문제는 도메인 컨트롤러로 사용되는 서버에 설치된 2022년 5월 10일 업데이트에만 영향을 미칩니다. 조직에서는 클라이언트 윈도우 장치 및 도메인 컨트롤러가 아닌 윈도우 서버에는 업데이트를 계속해서 적용해야 합니다."

 

인증 문제를 해결할 수 있는 방법

 

마이크로소프트는 이 달 보안 업데이트 설치로 발생하는 AD 인증 문제를 해결하기 위한 공식 업데이트를 발표할 때까지 인증서를 활성 디렉터리 내 컴퓨터 계정에 수동으로 매핑할 것을 권장했습니다.

 

"원하는 완화법이 사용자 환경에서 작동하지 않을 경우, 'KB5014754 - 윈도우 도메인 컨트롤러의 인증서 기반 인증 변경'을 참조하여 SChannel 레지스트리 키 섹션에서 가능한 다른 완화법을 찾아보시기 바랍니다.”

 

하지만 윈도우 관리자들 중 일부는 BleepingComputer 측에 2022년 5월 윈도우 업데이트를 설치한 후 로그인할 수 있는 유일한 방법이 StrongCertificateBindingEnforcement 키를 0으로 설정하여 비활성화하는 것이라고 밝혔습니다.

 

시스템의 레지스트리에서 사용할 수 없을 경우 REG_DWORD 데이터 유형을 통해 처음부터 생성하고 0으로 설정하여 강력한 인증서 매핑 검사를 비활성화할 수 있습니다. 이 방법은 마이크로소프트에서 권장하지 않지만 일부 환경에서 모든 사용자가 로그인 하도록 허용하는 유일한 방법입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cisa-warns-not-to-install-may-windows-updates-on-domain-controllers/

https://www.cisa.gov/uscert/ncas/current-activity/2022/05/13/cisa-temporarily-removes-cve-2022-26925-known-exploited