윈도 LDAP에서 발견된 취약점, 끈질기게 파봤더니 모든 윈도 서버가 위험

입력 : 2025-01-07 17:53

12월에 발견된 취약점 중 하나를 익스플로잇 하기 위해 연구했더니, 의외로 해당 취약점에 노출된 서버들이 상당히 많다는 사실이 드러났다. 동시에 더 심각한 취약점도 비슷한 방법으로 익스플로잇 할 수 있을 가능성도 제기됐다.

3줄 요약
1. LDAP 디도스 취약점 연구했더니 웬걸, 모든 버전의 윈도 서버가 위험.
2. 심지어 비슷한 시기에 발견된 더 심각한 취약점 역시 비슷한 방법으로 익스플로잇이 가능할 것으로 보임.
3. 패치는 물론, 공개된 개념증명용 코드로 조직들의 개별적 점검도 가능.

[보안뉴스 문가용 기자] 컴퓨터 네트워크에서 가장 중요한 자산은 무엇일까? 공격자들이 탈취했을 때 가장 치명적으로 작용할 것은 무엇일까? 여기에는 많은 답이 있을 수 있지만, 네트워크나 보안 담당자들 중에서는 액티브 디렉토리 도메인 컨트롤러(DC)를 꼽는 사람이 적지 않을 것이다. 실제로 이 DC에서 발견된 취약점의 위험성이나 파급력은 일반 개개인들의 워크스테이션에서 발견된 취약점의 그것과는 차원이 다를 때가 많다.


그리고 2024년 12월 10일 유키 첸(Yuki Chen)이라는 보안 전문가가 윈도의 경량디렉토리접근프로토콜(Lightweight Directory Access Protocol, LDAP)에서 두 가지 취약점을 발견했다. 하나는 원격 코드 실행 공격을 가능하게 하는 것이고, 다른 하나는 디도스 공격 및 정보 유출을 가능하게 하는 취약점이었다. 이 취약점 모두 위에서 말한 도메인 컨트롤러에 영향을 미치는 것으로 분석됐다. 다행히 MS는 이 취약점을 빠르게 패치했다. 원격 코드 실행 취약점은 CVE-2024-49112이며, 디도스 공격 취약점은 CVE-2024-49113이었다. 전자는 CVSS 기준 9.8점, 후자는 7.5점을 받았다.

그리고 이번 주 보안 업체 세이프브리치(SafeBreach)가 디도스 공격을 가능하게 하는 취약점인 CVE-2024-49113에 대한 개념증명용 익스플로잇 코드를 개발하는 데 성공했다. 이를 통해 공격자들의 공격 방법을 예상할 수 있다고 세이프브리치는 강조하며 해당 코드를 공개했다.

결론부터 - 공격 진행 순서
결론부터 말해, 세이프브리치 측에서 정리한 공격 순서를 간단하게 정리하면 다음과 같다.
1) 공격자가 피해자의 서버(공격 표적)에 DCE/RPC 요청을 보낸다.
2) 피해자의 서버는 DNS SRV 쿼리를 보낸다.
3) 공격자의 DNS 서버가 공격자의 호스트 이름과 LDAP 포트를 응답의 형태로 보낸다.
4) 피해자의 서버는 NBNS 브로드캐스트 요청을 통해 응답 받은 호스트 이름의 IP 주소를 찾으려 한다. 여기서 호스트 이름은 공격자의 것을 가리킨다.
5) 그러면 공격자가 NBNS 응답으로서 자신의 IP 주소를 보낸다.
6) 피해자의 서버가 LDAP 클라이언가 되어 공격자의 시스템으로 CLDAP 요청을 보낸다.
7) 공격자가 특정 값을 포함한 CLDAP 참조 응답 패킷을 보내 LSASS를 충돌시킴으로써 피해 서버의 재부팅을 유발한다.

이 과정에서 추가로 발견하거나 확인한 사항들을 세이프브리치는 다음과 같이 정리했다.
1) 위와 같은 공격을 수행하면 여러 버전의 윈도 서버들을 중단시키는 데 악용될 수 있다. 또한 위의 공격을 살짝만 응용하면 더 심각한 취약점인 CVE-2024-49112도 익스플로잇이 가능하다.
2) MS는 패치를 통해 취약점의 근간을 해결했으며, 패치를 적용한 서버는 더 이상 문제를 일으키지 않는다는 것을 확인했다.
3) 개념증명용 익스플로잇 코드는 서버를 사용하는 기업이나 기관들이 스스로 해당 취약점에 노출되어 있는지를 확인해볼 수 있도록 짜여져 있다.

CVE-2024-49113?
이번에 발표된 익스플로잇 코드의 주인공인 CVE-2024-49113은 “윈도 LDAP의 디도스 공격 취약점”으로 명명됐다고 세이프브리치는 밝히고 있다. “LDAP는 마이크로소프트 액티브 디렉토리에서 워크스테이션과 서버가 디렉토리 서비스 정보에 접근하고, 그런 정보들을 유지 관리하기 위해 사용하는 프로토콜입니다. 문제의 CVE-2024-49113 취약점은 이름부터 이런 LDAP와 관련이 있음을 시사하고 있고, 따라서 워크스테이션과 서버가 특정 작업을 하는 데 필요한 정보들이 위험해질 수 있다는 걸 알 수 있습니다.”

MS가 패치와 함께 해당 취약점에 대해 밝힌 공격 시나리오는 다음과 같다.
1) 원격에 있으면서 인증 과정도 거치지 않은 공격자가 이 취약점을 성공적으로 익스플로잇 할 경우 LDAP 서비스의 컨텍스트 내에서 임의 코드를 실행할 수 있게 된다. 그러나 항상 성공하는 건 아니고, 사용자가 환경설정을 어떻게 했느냐에 따라 달라진다.
2) 공격자는 도메인 컨트롤러(DC)를 대상으로 한 LDAP 서버의 취약점도 익스플로잇 할 수 있다. 대신 RPC 호출을 통해 피해자의 DC가 공격자의 도메인을 조회하는 행동이 유발되도록, 특수하게 제작된 데이터를 먼저 전송해야 한다.
3) LDAP 클라이언트 애플리케이션을 대상으로 한 공격도 가능하다. 대신 공격자는 피해자를 속여 공격자의 도메인에 대한 도메인 컨트롤러 조회를 수행하거나, 악성 LDAP 서버에 연결하도록 해야 한다.

이 정보가 정확하다고 가정했을 때 세이프브리치는 다음과 같은 결론에 도달할 수 있다고 밝혔다.
1) 공격자는 공격을 성공시키기 위해 인증 과정을 통과하지 않아도 된다.
2) 취약점은 정수 오퍼플로 유형이며 LDAP 클라이언트 로직을 구현하는 실행파일이나 동적 링크 라이브러리에서 발생한다.
3) RPC 호출을 활용하여 공격자가 제어하는 LDAP 서버에 도메인 컨트롤러의 쿼리를 전송할 수 있다.
4) 도메인 컨트롤러 컨텍스트에서는 해당 취약점이 lsass.exe이나 lsass.exe를 로딩하는 DLL 중 하나에 있을 가능성이 높다.
5) 그렇기에 RPC 호출에서 취약한 LDAP 클라이언트 코드를 포함한 RPC 인터페이스는 lsass.exe나 lsass.exe가 로딩하는 DLL 내에 존재한다.

익스플로잇의 성공
세이프브리치는 MS가 공개한 내용과 그 외 여러 보안 전문가들이 게시한 관련 글들을 통해 취약점에 대해 파악한 뒤 실제 익스플로잇을 시도하기로 결정했다. 위 MS가 밝힌 공격 시나리오에 의하면 제일 먼저 성공시켜야 할 건 “RPC 호출을 통해 피해자의 DC가 공격자의 도메인을 조회하는 행동을 유발하는 것”이었고, 세이프브리치는 바로 이것에 착수했다고 자사 블로그를 통해 밝혔다. “피해자 DC가 LDAP 서버에 쿼리를 보내도록 유도하는 과정을 성공시키고 이를 증명해야 했습니다. 이 때 LDAP 서버는 세이프브리치가 제어하는 것이어야 했습니다.”

여러 과정과 시행착오 끝에 세이프브리치는 결국 피해자 DC로 하여금 공격자 DC 내에서 LDAP 쿼리를 요청하도록 만드는 데 성공했다. 하지만 이것은 시작에 불과했다. 이 현상을 악성으로 변환시켜야 했다. “LDAP 쿼리에 대한 응답에 어떤 내용이 포함되어 있는지를 먼저 살펴야 했습니다. 그래야 이를 악용해 악성 행위를 실시할 수 있으니까요.” 여기서 악성 행위는 디도스 공격(디도스 취약점이었으므로)이었다. 악성 행위까지 성공시켰을 때 중요한 점을 하나 발견할 수 있었다고 세이프브리치는 설명을 잇는다. “CVE-2024-49113과 같이 발견된 원격 코드 실행 공격 취약점(CVE-2024-49112)도 비슷한 방법으로 익스플로잇 할 수 있다는 것입니다. 다만 아직까지 구현 및 익스플로잇 코드 개발에는 도달하지 못했습니다.”

이런 과정 끝에 만들어진 개념증명용 익스플로잇 코드는 현재 깃허브에 공개되어 있다고 세이프브리치는 알렸다. 주소는 https://github.com/SafeBreach-Labs/CVE-2024-49113으로, 누구나 열람이 가능하다. “이 익스플로잇 코드를 가지고 보안 담당자들은 자신들의 서버가 이런 LDAP 공격에 노출되어 있는지 아닌지를 보다 정확하게 점검할 수 있을 겁니다. 이는 LDAP의 중요도를 생각했을 때 누구나 시급히 해야 할 일이라고 봅니다.”

그래서?
이번 연구의 초점은 CVE-2024-49113이라는 디도스 취약점이었다. 연구 결과 이 취약점은 도메인 컨트롤러뿐만 아니라 패치되지 않은 모든 윈도 서버에 영향을 미친다는 것을 알게 됐다고 세이프브리치는 경고한다. “하지만 이런 위험성은 개별 조직마다 조금씩 다른 모습으로 나타납니다. 그 정도도 조직들마다 달라질 수밖에 없고요. 결국 모든 기업과 기관들이 개별적으로 이 취약점의 실질적인 위험성을 따로 탐구해야 하는데, 그러려면 개념증명용 익스플로잇 코드가 필요하고, 세이프브리치가 공개한 건 바로 그런 데 사용될 코드라고 할 수 있습니다.”

또 이 연구를 통해 얻어낸 중요한, 그러나 아직 결론이 나지 않은 성과는 더 심각한 취약점인 CVE-2024-49112도 비슷한 방법으로 익스플로잇이 가능하다는 것이다. 공격자들이 먼저 취약점 익스플로잇 방법을 알아낸다면 윈도 서버에 접근하여 디도스 공격은 물론 원격 코드 실행 공격도 실시할 수 있게 된다. 이는 매우 위험한 상황으로 이어질 수 있기 때문에 세이프브리치는 두 가지 취약점 모두에 대한 패치를 빠른 시일 안에 적용하는 것을 권장한다.

개념증명용 취약점 익스플로잇 코드의 개발 과정에 대한 보다 세부적인 과정은 이번 주 목요일(1월 9일)에 발간되는 프리미엄 리포트에 보다 구체적으로 다뤄질 예정입니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  스티비 뉴스레터 해킹 들여다보니... 개인정...

• 2

  하이트진로, 랜섬웨어 공격에 개인정보 유출까...

• 3

  7일 개막 CES 2025, 최고혁신상 수상...

• 4

  GS리테일, 크리덴셜 스터핑 공격 받아 고객...

• 5

  [2024 Global Security To...

• 1

  페이스북 광고 관리자 계정 정보 탈취하는 노...

• 2

  [2025년 글로벌 이슈 전망] 2025년에...

• 3

  [2025년 보안 핫 키워드-2] SW 공급...

• 4

  하이트진로, 랜섬웨어 공격에 개인정보 유출까...

• 5

  [사람과 보안] 한국 산업 생태계 휘젓는 중...

• 1

  7일 개막 CES 2025, 최고혁신상 수상...

• 2

  “당신의 클릭을 훔치겠습니다”가 “당신의 더...

• 3

  빅테크들, 물리 공간에도 영향을 주던 사이버...

• 4

  [배종찬의 보안 빅데이터] 트럼프와 머스크도...

• 5

  제주항공 여객기 참사 관련 영상이 메일·문자...