[보안업데이트-11] SMB 취약점, SMB 패킷 보내 PC 악용

MS10-012, SMB 서버의 취약점으로 인한 원격 코드 실행 문제점

<순서>

1. 보안업데이트 무시하고 있지는 않나요?

2. 오피스 취약점, 공격자는 PC 완전제어 가능

3. 파워포인트 취약점, 서버가 더 위험할 수 있어

4. 페인트 취약점, JPEG로 공격자 로컬사용자 권한 얻어

5. SMB 취약점, 서비스 거부도 유발 가능

6. 윈도우 셸 처리기 취약점, 사용자 컨텍스트 악용 가능

7. 액티브X 취약점, Kill 비트 설정해 해결

8. TCP/IP 취약점, IPv6 사용 모든 OS 위험에 노출돼

9. 하이퍼-V 취약점, 가상서버 악용 연결 PC들 서비스거부 유발

10. CSRSS 취약점, 필수 하위 시스템의 사용자 모드 권한 획득

11. SMB 취약점, SMB 패킷 보내 PC 악용

12. DirectShow 취약점, 동영상(AVI) 파일 여는 순간 위험

13. Kerberos 취약점, 티켓 갱신 요청 받아들여지면 서비스거부 발생

14. 커널 취약점, 운영체제 핵심인 커널이 특정 예외 잘못 처리

MS10-012(중요) 보안공지와 관련한 보안 업데이트는 MS 윈도우에서 발견돼 비공격적으로 보고된 여러 취약점을 해결한다. 이 중 가장 심각한 취약점으로 인해 공격자가 특수하게 조작된 SMB(Server Massage Block) 패킷을 만들어 영향을 받는 시스템에 보내는 방법으로 원격 코드 실행이 발생할 수 있다. 하지만 방화벽 구성 모범 사례와 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 이 취약점을 악용하려는 공격으로부터 네트워크를 보호할 수 있다. 또한 이 보안 업데이트는 MS10-006, ‘SMB 클라이언트의 취약점으로 인한 원격 코드 실행 문제점’ 보안공지와는 다른 SMB 구성 요소를 해결한다.

심각도 및 취약점-SMB 경로 이름 오버플로 취약점(CVE-2010-0020)

MS SMB 프로토콜 SW가 특수하게 조작된 SMB 패킷을 처리하는 방식에 인증된 원격 코드 실행 취약점이 존재한다. 공격자는 특수하게 조작한 네트워크 메시지를 인증된 사용자로서 서버 서비스를 실행하는 시스템으로 전송해 이러한 취약점을 악용할 수 있다. 다만 최선의 방화벽 구성 방법(TCP 포트 139 및 445 차단)과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있으며, 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어두는 것이 안전하다. 또한 이런 경우 SMB 포트를 인터넷에서 차단해야 한다.

심각도 및 취약점-SMB 메모리 손상 취약점(CVE-2010-0021)

MS SMB 프로토콜 SW가 특수하게 조작된 SMB 패킷을 처리하는 방식에 서비스 거부 취약점이 존재한다. 이 취약점을 악용하려는 시도에는 인증이 필요하지 않으며 공격자는 특수하게 조작된 네트워크 메시지를 서버 서비스를 실행하는 컴퓨터로 전송해 취약점을 악용할 수 있다. 다만 윈도우 비스타 및 윈도우 7에서 네트워크 프로필이 ‘공개(Public)’로 설정돼 있는 경우, 기본적으로 원치 않는 인바운드 네트워크 패킷이 차단되므로 시스템은 이 취약점으로 인한 영향을 받지 않는다.

특히 이 취약점은 협상 단계에서 SMB 패킷을 구문 분석할 때 발생할 수 있는 경쟁 조건을 제대로 처리하지 못하는 MS SMB 프로토콜 SW로 인해 발생하며, 이 취약점은 SMB 버전 1 및 2에 영향을 준다.

심각도 및 취약점-SMB Null 포인트 취약점(CVE-2010-0022)

공격자는 특수하게 조작된 네트워크 메시지를 서버 서비스를 실행하는 컴퓨터로 전송해 취약점을 악용할 수 있는데, 이 취약점 악용에 성공한 공격자는 컴퓨터가 다시 시작될 때까지 컴퓨터에서 응답을 중지하도록 만들 수 있다. 또한 이 취약점에 대한 완화 요소 및 대안은 위 취약점들과 동일하다.

심각도 및 취약점-SMB NTLM 엔트로피 인증 부족 취약점(CVE-2010-0231)

MS SMB 프로토콜 SW가 인증 시도를 처리하는 방식에 인증되지 않은 상승 취약점이 존재하는데, 이 취약점 악용에 성공한 공격자는 권한이 있는 사용자의 자격 증명으로 대상 사용자의 SMB 서비스에 액세스 할 수 있다. 또한 이 취약점은 SMB 서버가 챌린지를 생성하고 연결 클라이언트에 제공할 때 암호화 엔트로피가 부족해 발생하는데, 이로 인해 공격자는 계속해서 SMB 서버에 대해 인증을 시도할 수 있으며 결과적으로 서버에서 중복 값을 생성하게 된다.

특히 SMB 서버 서비스를 사용하는 모든 시스템이 취약점의 영향을 받는 만큼 도메인 컨트롤러는 모든 도메인 사용자에게 네트워크 공유를 개방하기 때문에 이 취약점의 악용에 대해 매우 위험하다.

한편 이와 관련한 보다 자세한 사항이나 보안업데이트는 MS 테크넷 홈페이지(www.microsoft.com/korea/technet/security/bulletin/ms10-012.mspx)에서 확인할 수 있다.

[김정완 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)