윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼

윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼

Windows SMB Zero-Day Exploit Released in the Wild after Microsoft delayed the Patch

지난 주 한 보안 연구원이 윈도우 10, 8.1 서버 에디션에 존재하는 제로데이 취약점을 공개했습니다. 그는 마이크로소프트가 3달 동안 이를 패치하지 않아, 해당 취약점을 공개하게 되었다고 설명했습니다.

이 제로데이 메모리 충돌 결점은 SMB(Server Message Block)의 네트워크 파일 공유 프로토콜 구현에 존재하며, 원격의 승인되지 않은 공격자가 또 다른 공격을 가능하게 하도록 만들기 위해 DoS 공격을 통해 시스템을 충돌시킬 수 있도록 허용합니다. US-CERT에 따르면, 이 결점은 취약한 시스템에서 윈도우 커널 권한으로 임의의 코드를 실행하는데 악용될 수도 있지만, 아직까지 마이크로소프트가 확인하지 않은 상태인 것으로 나타났습니다.

마이크로소프트는 취약점의 실제 범위와 악용되었을 경우 발생하는 위협 등을 공개하지 않고, 이 문제의 심각성을 무시한 채 아래와 같이 밝혔습니다.

“윈도우는 제보받은 보안 이슈를 조사하고 가능한 빨리 영향을 받는 장비들을 패치 하는 유일한 플랫폼이다. 우리는 고객들이 최상급의 보호를 받기 위해 윈도우 10 및 마이크로소프트 Edge 브라우저를 사용할 것을 권고한다.”

보안 연구원 Laurent Gaffie는 윈도우 10용 PoC 익스플로잇 코드인 Win10.py를 공개했습니다. 이는 타겟의 브라우저 사용을 필요로 하지 않습니다. 

메모리 충돌 결점은 윈도우가 SMB 트래픽을 처리하는 과정에 존재합니다. 공격자들은 소셜 엔지니어링 기법 등을 통해 쉽게 피해자들이 악성 SMB 서버에 연결하도록 속이기만 하면 됩니다.

CERT는 권고문에서 “특히 윈도우는 SMB2 TREE_CONNECT 응답 구조를 따르는, 너무 많은 바이트를 포함하는 서버 응답을 제대로 처리하지 못한다. 악성 SMB 서버에 연결할 경우 윈도우 클라이언트 시스템은 mrxsmb20.sys에서 충돌(BSOD)을 일으킬 수 있다.”고 밝혔습니다.

해당 익스플로잇 코드가 이제 대중에 공개되었습니다. 그러나 아직까지 마이크로소프트에서 공식 패치를 내놓지 않았기 때문에 윈도우 사용자들은 이 잠재적인 공격에 노출된 상태로 남아있습니다. 마이크로소프트가 이 메모리 충돌 결점을 패치하기 전까지, 윈도우 사용자들은 로컬 네트워크에서 WAN으로의 아웃바운드 SMB 연결을(TCP 포트 139, 445, UDP 포트 137, 138)차단함으로써 임시로 문제를 해결할 수 있습니다.

해당 취약점은 CVSS(Common Vulnerability Scoring System)에서 7.8점을 기록했습니다. PoC 코드는 Github에 공개되었습니다.

출처 :

http://thehackernews.com/2017/02/windows-smb-0day.html

https://github.com/lgandx/PoC/blob/master/SMBv3%20Tree%20Connect/Win10.py