상세 컨텐츠

본문 제목

CISA, 도메인 컨트롤러에 5월 윈도우 업데이트 설치 금지 경고해

국내외 보안동향

by 알약4 2022. 5. 17. 09:00

본문

CISA warns not to install May Windows updates on domain controllers

 

윈도우의 보안 취약점을 패치하는 2022 5월 업데이트로 인해 활성 디렉터리(AD) 인증 문제가 발생해 미 CISA가 악용된 취약점 카탈로그에서 해당 윈도우 보안 취약점을 제거했습니다.

 

이 보안 취약점은 CVE-2022-26925로 등록되었으며 활발히 악용되는 윈도우 LSA 스푸핑 제로데이 취약점으로, 새로운 PetitPotam의 윈도우 NTLM 릴레이 공격 벡터로 확인되었습니다.

 

인증되지 않은 공격자는 CVE-2022-26925를 악용하여 도메인 컨트롤러가 윈도우 NTLM(NT LAN Manager) 보안 프로토콜을 통해 원격으로 인증하고 전체 윈도우 도메인을 제어할 수 있습니다.

 

2022 5월 보안 업데이트 및 AD 인증 이슈

 

마이크로소프트는 해당 취약점을 2022 5패치 화요일을 통해 발표된 보안 패치의 일부로 다른 보안 취약점 74개와 함께 패치했습니다. 이 중에는 제로데이 취약점 2건도 포함되어 있었습니다.

 

하지만 윈도우 Kerberos Active Directory 도메인 서비스(CVE-2022-26931, CVE-2022-26923)의 권한 상승 취약점 두 가지에 대한 패치는 윈도우 서버 도메인 컨트롤러에 배포할 경우 서비스 인증 문제를 일으킬 수도 있는 것으로 나타났습니다.

 

알려진 악용 취약점 카탈로그에서 제거되기 전 202111월 발행된 BOD 22-01에 따르면, 모든 연방 민간 행정부 기관(FCEB) 2022 6 1일까지 3주 이내에 보안 업데이트를 적용해야 했습니다.

 

마이크로소프트는 더 이상 패치 화요일을 통해 패치된 각 보안 문제에 대해 별도의 설치 프로그램을 제공하지 않기 때문에, 관리자는 보안 업데이트를 각각 설치할 수 없어 이번 달 보안 업데이트 전체를 설치할 경우 AD 인증 문제 또한 트리거됩니다.

 

CISA에서는 아래와 같이 언급했습니다.

 

"클라이언트 윈도우 장치 및 비 도메인 컨트롤러 윈도우 서버에 2022 5 10일 공개된 업데이트를 설치할 경우에는 이 문제가 발생하지 않으며, 여전히 권장되는 사항입니다.”

 

"이 문제는 도메인 컨트롤러로 사용되는 서버에 설치된 2022 5 10일 업데이트에만 영향을 미칩니다. 조직에서는 클라이언트 윈도우 장치 및 도메인 컨트롤러가 아닌 윈도우 서버에는 업데이트를 계속해서 적용해야 합니다."

 

인증 문제를 해결할 수 있는 방법

 

마이크로소프트는 이 달 보안 업데이트 설치로 발생하는 AD 인증 문제를 해결하기 위한 공식 업데이트를 발표할 때까지 인증서를 활성 디렉터리 내 컴퓨터 계정에 수동으로 매핑할 것을 권장했습니다.

 

"원하는 완화법이 사용자 환경에서 작동하지 않을 경우, 'KB5014754 - 윈도우 도메인 컨트롤러의 인증서 기반 인증 변경'을 참조하여 SChannel 레지스트리 키 섹션에서 가능한 다른 완화법을 찾아보시기 바랍니다.”

 

하지만 윈도우 관리자들 중 일부는 BleepingComputer 측에 2022 5월 윈도우 업데이트를 설치한 후 로그인할 수 있는 유일한 방법이 StrongCertificateBindingEnforcement 키를 0으로 설정하여 비활성화하는 것이라고 밝혔습니다.

 

시스템의 레지스트리에서 사용할 수 없을 경우 REG_DWORD 데이터 유형을 통해 처음부터 생성하고 0으로 설정하여 강력한 인증서 매핑 검사를 비활성화할 수 있습니다. 이 방법은 마이크로소프트에서 권장하지 않지만 일부 환경에서 모든 사용자가 로그인 하도록 허용하는 유일한 방법입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cisa-warns-not-to-install-may-windows-updates-on-domain-controllers/

https://www.cisa.gov/uscert/ncas/current-activity/2022/05/13/cisa-temporarily-removes-cve-2022-26925-known-exploited

 

관련글 더보기

댓글 영역