모든 윈도우 버전에 영향을 줄 수 있는 BadTunnel 취약점(CVE-2016-3213)!

모든 윈도우 버전에 영향을 줄 수 있는 BadTunnel 취약점(CVE-2016-3213)!

'BadTunnel' Bugs Left Every Microsoft Windows PC Vulnerable For 20 Years

6월 윈도우 보안패치 중에는 일명 "BadTunnel"이라고 명명된 취약점 패치가 포함되어 있었습니다. BadTunnel(CVE-2016-3213)은 Win95부터 Win10까지 모두 영향을 받는 취약점으로, 지금까지 발견된 취약점들 중 영향받는 대상이 가장 광범위한 취약점입니다. 

이 취약점은 설계상의 문제 때문에 발생하였습니다. 사용자가 URL을 클릭하거나 임의의 Office 문서, PDF 문서 혹은 기타 형식의 파일을 열거나, 혹은 USB를 연결(심지어 사용자가 USB에 저장되어 있는 문서를 실행하지 않아도)하기만 하면 취약점을 악용할 수 있기 때문에 공격성공확률이 매우 높습니다. 

이 취약점을 악용하면 공격자는 권한상승을 할 수 있습니다. 

"백신이 실시간 감시를 하고 있어도 여전히 해당 공격을 차단할 수 없습니다. 또한 공격자는 이 취약점을 이용하여 목표 시스템에 악성코드를 실행할 수도 있습니다."

공격자는 Edge, Internet Explorer, Microsoft Office 혹은 Windows 중의 다양한 서드파티 소프트웨어를 통하여 해당 취약점을 이용할 수 있으며, 또한 네트워크 서버 혹은 Thumb 드라이버를 통하여도 이용할 수 있습니다. 

공격원리

이 취약점은 일련의 단독으로 설계된 프로토콜과 특정 작업때문에 발생하는 것입니다. 해당 취약점을 성공적으로 악용하려면 위조된 NetBIOS를 연결시킵니다. 비록 공격은 공격대상의 LAN에서 발생하지만, 해커가 그 네트워크에 있을 필요는 없습니다. 네트워크 중에서 신뢰있는 연결을 맺고, 모든 네트워크트래픽을 공격자에게로 리다이렉트 시킵니다. 때문에 방화벽이 있어도 우회가 가능합니다. 

공격자는 네트워크 디바이스의 ID를 정확하게 추측할 수 있으며, 신뢰할 수 있는 네트워크를 구축할 수 있습니다. 이것은 즉 공격대상의 트래픽을 공격자 PC로 리다이렉트 시킬 수 있다는 것입니다. 이는 공격자가 자신을 네트워크 장비로 예를들어 프린트 서버 혹은 문서서버로 위장하였기 때문에 가능한 것입니다. 공격자는 암호화 된 트래픽을 모니터링 할 수 있을 뿐만 아니라 Windows업데이트 파일을 차단하고 변조할 수도 있습니다. 또한 사용자가 웹페이지에 방문할 때 캐시에 악성코드를 삽입하는 등 추가적인 공격을 진행할 수 있습니다. 

해결방법

윈도우 보안업데이트를 진행합니다. (관련항목 : MS16-063 및 MS16-077)

이미 지원이 종료된 Windows버전은 NetBIOSover TCP/IP를 비활성화 시켜놓습니다.

▶ NetBIOSover TCP/IP 비활성화 방법 보러가기

혹은 NetBIOS 137포트의 outbound connect를 금지해 놓아야 합니다. 

출처 : 

http://www.forbes.com/sites/thomasbrewster/2016/06/14/microsoft-badtunnel-big-brother-windows-vulnerability/#b7d7bd35c642