MS 보안 프로토콜에서 발견된 취약점, 7개월 만에 패치

CredSSP의 인증 방식에서 오류 발견...다음 주 익스플로잇 기술/도구 공개
익스플로잇 쉽지 않지만 와이파이 통한 높은 권한 계정 접속 삼가야

[보안뉴스 문가용 기자] 마이크로소프트의 크리덴셜 시큐리티 서포트 프로바이더 프로토콜(Credential Security Support Provider, CredSSP)에서 치명적인 취약점이 발견됐다. 이 취약점을 악용할 경우 네트워크의 도메인 서버와 기타 시스템들에 대한 통제권을 장악할 수 있게 된다고 한다.

[이미지 = iclickart]

보안 업체 프리엠트(preempt)의 전문가들은 이전에 알려지지 않았던 원격 코드 실행 취약점을 발굴해내는 데 성공했다. 이 취약점은 윈도우 모든 버전에 존재하고 있으며, 지난 해 8월 마이크로소프트 측에 전달됐다. 그리고 7개월 만에 마이크로소프트는 오늘 패치 튜즈데이를 통해 CVE-2018-0886에 대한 픽스를 배포하기 시작했다.

CredSSP가 가지고 있던 이 취약점은 중간자 공격을 통해 익스플로잇이 가능하다고 알려져 있다. 클라이언트 기기와 서버가 원격 데스크톱 프로토콜(RDP)과 윈도우 원격 관리(WinRM)을 통해 서로를 인증하는 과정에서 이러한 공격이 성립된다고 한다. CredSSP는 크리덴셜을 암호화해서 윈도우 클라이언트로부터 서버로 포워딩하는 것을 담당한다.

프리엔트의 수석 연구원인 야론 지나(Yaron Zinar)는 “프로토콜(CredSSP) 내에서 고전적인 실수를 발견했고, 이를 활용해 중간자 공격을 감행하는 데 성공했다”고 밝혔다. 실제 공격 방법은 아직 공개되지 않았는데 “다음 주쯤 발표할 예정”이라고 한다. 이 날 해당 취약점을 익스플로잇하는 오픈소스 툴도 함께 발표할 것이라고 한다.

지나는 “CredSSP가 작동하면, 서버의 인증서를 클라이언트가 확인하지 않는다”며 “서명만 되지, 해시 처리는 되지 않는다”고 보다 상세하게 설명을 이어갔다. “그러므로 악성 실행 파일이 포함되어 있는 악성 인증서를 만들어내는 것이 가능하게 되는 것이죠. 클라이언트는 CredSSP 때문에 속을 수밖에 없습니다.”

물론 위에 밝힌 대로 공격이 성립하려면 공격자가 RDP니 WinRM 세션이 발생할 때 클라이언트와 서버 사이에서 ‘중간자 공격’을 실시해야만 한다. 와이파이망을 통해 침투하거나, 물리적으로 네트워크에 접근할 수 있어야만 한다. 와이파이로 접근했다면 크랙(KRACK)과 같은 취약점을 익스플로잇할 수 있다.

“꽤 높은 권한을 가진 사용자로부터 세션을 훔쳐내는 데 성공한 공격자라면 여러 명령어를 실행시킬 수 있습니다. 원격 절차 호출이 디폴트로 활성화된 도메인 통제 장치에서 특히나 치명적으로 작용할 수 있습니다. 또한 공격이 성공해도 사용자(피해자)가 보는 건 실패했다는 RDP 오류 메시지일 뿐입니다. 즉 공격이 이뤄지고 있는 걸 탐지해낼 방법이라고는 원격 세션이 잘못됐다는 메시지라는 건데, 이는 일반 사용자들에게 있어 희박한 가능성이죠.”

물론 익스플로잇이 쉬운 건 아니다. 지나 역시 “익스플로잇을 성공시키기 매우 어려웠다”고 실토한다. “사용할 수 있는 패킷도 제한적이었고, 인증서 역시 그랬습니다.”

마이크로소프트는 패치를 발표하며 “CredSSP의 인증 방식과 과정을 올바르게 손봤다”며 “그룹 정책(Group Policy) 설정이나 레지스트리 기반의 설정을 사용할 것”을 권장했다. “관리자라면 그룹 정책을 적용하고 Force updated clients나 Mitigated 옵션을 활성화시킬 것을 권합니다. 이 옵션을 바꾸면 시스템 리부트를 해야만 합니다.”

그러므로 프리엠트는 “가장 좋은 방어법은 최신 패치를 적용하는 것”이라고 말한다. 하지만 그것만으로 충분치 않다고도 설명한다. “환경설정을 좀 손봐야 합니다. RDP와 DCE/RPC를 비활성화시키는 것도 큰 도움이 됩니다. 그 외에는 권한이 높은 계정의 크리덴셜 사용을 최소화시키고, 그러한 계정은 와이파이를 통해 접근하지 않는 것도 좋습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)