¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ¡°Á¤º¸ ³ëÃâÇü Ãë¾àÁ¡¡±...üũÆ÷ÀÎÆ®´Â ¡°½Ã½ºÅÛ Àå¾Ç Ãë¾àÁ¡¡±
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] À©µµ¿ì ½Ã½ºÅÛ °ü¸®ÀÚµéÀ» À§ÇÑ ÀÎÅÍÆäÀ̽º¿¡¼ ¸î °¡Áö Ãë¾àÁ¡µéÀÌ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ¾Ç¼º ÆäÀ̷ε带 ¼³Ä¡ÇÏ°í, °ü¸®ÀÚ Àåºñ¸¦ ¿ÏÀüÈ÷ Àå¾ÇÇÏ´Â °Ô °¡´ÉÇÏ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ Ãë¾àÁ¡µéÀº ÀüºÎ Çϳª·Î ¹¿©¼ CVE-2019-0948À̶ó´Â ¹øÈ£ ¾Æ·¡ °ü¸®µÈ´Ù. ¹®Á¦°¡ µÇ´Â ÀÎÅÍÆäÀ̽º´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® °ü¸® ÄܼÖ(Microsoft Management Console, MMC)ÀÌ´Ù. Ãë¾àÁ¡À» ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü üũÆ÷ÀÎÆ®(Check Point)ÀÇ ¿¬±¸¿øÀÎ ¿¡¶õ ¹ÙÅ©´Ñ(Eran Vaknin)°ú ¾Ë·Ð º¹½Ã³Ê(Alon Boxiner)´Ù.
¡°MMCÀÇ Á¸Àç ¸ñÀûÀº À©µµ¿ì ±â¹Ý ȯ°æÀ» °ü¸®ÇÏ°Ô ÇØÁÖ´Â ¾ÖÇø®ÄÉÀ̼ǵéÀ» ¸¸µé°í È£½ºÆÃÇÒ ¼ö ÀÖ´Â ÇÁ·Î±×·¡¹Ö Ç÷§ÆûÀ» °ü¸®ÀÚ¿¡°Ô Á¦°øÇÏ´Â °Í°ú, °£ÆíÇÏ°í ÀÏ°ýÀûÀÎ ÅëÇÕ °ü¸®ÀÚ ÀÎÅÍÆäÀ̽º¸¦ ±¸ÃàÇÏ´Â °ÍÀÔ´Ï´Ù. µû¶ó¼ ÀÌ ºÎºÐÀÌ °ø·«À» ´çÇÏ°Ô µÇ¸é, °ø°ÝÀÚ°¡ ²Ï³ª ¸¹Àº ÀϵéÀ» ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
Ãë¾àÁ¡µéÀ» ºÐ·ùÇÏ¸é ´ëºÎºÐ XSS¿Í XXE ¹®Á¦·Î ³ª´¶´Ù°í üũÆ÷ÀÎÆ®´Â ¼³¸íÇÑ´Ù. ¡°°ø°ÝÀÚµéÀº MMC¿¡ ÀÖ´Â ½º³ÀÀÎ(snap-in)À̶ó´Â ±â´ÉÀ» ³²¿ëÇØ Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ½À´Ï´Ù. MMCÀÇ ½º³ÀÀÎÀ̶õ, ±â¼úÀûÀÎ ºÎºÐ¿¡¼ÀÇ °ü¸® ÅøÀ̶ó°í º¼ ¼ö ÀÖ½À´Ï´Ù. MMC´Â ÀÌ·± ½º³ÀÀεéÀ» ÇÑ µ¥ ¸ð¾ÆµÐ °÷ÀÌ°í¿ä. ÀÌ ½º³ÀÀο¡´Â ¾×ƼºêX ÄÁÆ®·Ñ, ¸µÅ© Åõ À¥ ¾îµå·¹½º(Link to Web Address) °°Àº °ÍµéÀÌ ÀÖ½À´Ï´Ù.¡±
Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çϱâ À§Çؼ °ø°ÝÀÚ´Â ¸ÕÀú ½º³ÀÀÎ ÆÄÀÏÀ» Çϳª ¸¸µé¾î¾ß ÇÑ´Ù. ÀÌ ¶§ ÆÄÀÏ È®ÀåÀÚ´Â .msc¿©¾ß ÇÑ´Ù. ÆÄÀÏ ³»¿¡´Â Ư¼öÇÏ°Ô Á¶ÀÛµÈ XML ÄÜÅÙÃ÷°¡ ÀúÀåµÇ¾î ÀÖ°í, ·Î±×ÀÎ µîÀ» ÅëÇØ ½ÂÀÎÀ» ¸¶Ä£ »ç¿ëÀÚ°¡ ÀÌ °¡Â¥ msc ÆÄÀÏÀ» ÀÓÆ÷Æ® Çϵµ·Ï À¯µµÇØ¾ß ÇÑ´Ù. ¿©±â¿¡´Â °¢Á¾ ¼Ò¼È ¿£Áö´Ï¾î¸µ ±â¼úÀÌ È°¿ëµÉ ¼ö ÀÖ´Ù.
¡°¿¹¸¦ µé¾î ¡®¸µÅ© Åõ À¥ ¾îµå·¹½º¡¯ ½º³ÀÀÎÀ¸·Î °¡Â¥ ÆÄÀÏÀ» ¸¸µé¸é, °ø°ÝÀÚ°¡ ¿î¿µÇÏ´Â ¼¹ö·Î ¿¬°áµÇ´Â URLÀ» »ðÀÔÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ±×·¯¸é ¾Ç¼º ÆäÀ̷ε尡 ½É±ä ÆäÀÌÁö·Î ÇÇÇØÀÚ¸¦ À¯µµÇÒ ¼ö ÀÖ°Ô µÇÁÒ.¡± üũÆ÷ÀÎÆ® ÃøÀÇ ¼³¸íÀÌ´Ù.
¡°¾Ç¼º msc ÆÄÀÏÀ» ¿µµ·Ï ¸¸µå´Â µ¥ ¼º°øÇß´Ù¸é, MMC â ³»¿¡¼ À¥ºä(WebView)°¡ ¿¸³´Ï´Ù. ±×¸®°í ¾Ç¼º ÆäÀ̷ε尡 ½ÇÇàµÇÁÒ. À̸¦ ½ÇÇè½Ç¿¡¼ ¿©·¯ Â÷·Ê ½ÇÇèÇÑ ³¡¿¡ SMB ¼¹ö¸¦ ¿ìȸ½ÃÅ°°Å³ª, »ç¿ëÀÚÀÇ NTLM Çؽø¦ ĸóÇϰųª, VBS ½ºÅ©¸³Æ®¸¦ ÇÇÇØÀÚÀÇ È£½ºÆ®¿¡¼ ½ÇÇà½ÃÅ°´Â µîÀÇ °ø°ÝÀ» ÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù.¡±
°ø°ÝÀÚ°¡ ¾×ƼºêX ÄÁÆ®·Ñ ½º³ÀÀÎÀ¸·Î °¡Â¥ msc ÆÄÀÏÀ» ¸¸µé¸é ¾î¶»°Ô µÉ±î? ¡°StringsTables ¼½¼Ç¿¡¼ °ø°ÝÀÚ´Â ¼¼ ¹ø° ¹®ÀÚ¿ °ªÀ» ¾Ç¼º URL·Î ¹Ù²Ü ¼ö ÀÖ°Ô µË´Ï´Ù. ¹°·Ð ÀÌ URLÀº °ø°ÝÀÚ°¡ ÅëÁ¦ÇÏ´Â ¼¹ö¿Í ¿¬°áÀÌ µÇ¾î ÀÖ´Â °ÍÀÌ°í¿ä. ÀÌ·± ¹æ¹ýÀ» ÅëÇØ ¾Ç¼º ÆäÀ̷ε尡 ÀÖ´Â HTML ÆäÀÌÁö¸¦ ·ÎµùÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡± ±×·¯¸é¼ üũÆ÷ÀÎÆ®´Â ¡°¸ðµç ¾×ƼºêX ÄÁÆ®·Ñ ½º³ÀÀÎÀº Ãë¾àÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù.
ÇÑÆí XXE Ãë¾àÁ¡Àº À߸øµÈ XML Æļ ¶§¹®¿¡ »ý±â´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ¡°ÇÇÇØÀÚ°¡ MMC¸¦ ¿°í, À̺¥Æ® ºä¾î ½º³ÀÀÎÀ» ¼±ÅÃÇØ ActionÀ» Ŭ¸¯ÇÑ ÈÄ, Import Custom View ¿É¼ÇÀ» ¼±ÅÃÇϸé XML ÆÄÀÏÀ» ¼±ÅÃÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ ¶§ XXE ÆäÀ̷ε尡 ÀúÀåµÇ¾î ÀÖ´Â ¾Ç¼º XML ÆÄÀÏÀÌ ¼±ÅõǸé, ÇÇÇØÀÚÀÇ È£½ºÆ®¿¡ ÀÖ´Â ¾Æ¹« ÆÄÀÏÀ̳ª °ø°ÝÀÚ¿¡°Ô·Î Àü¼ÛÇÒ ¼ö ÀÖ½À´Ï´Ù.¡±
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ÀÌ Ãë¾àÁ¡µé¿¡ ´ëÇØ ¡®Áß°£±Þ À§Çè ¿ä¼Ò¡¯¶ó°í Æò°¡Çß´Ù. ¡°À©µµ¿ì À̺¥Æ® ºä¾î(eventvwr.msc)¿¡ Á¸ÀçÇÏ´Â Á¤º¸ ³ëÃâ Ãë¾àÁ¡ÀÔ´Ï´Ù. XML ÀÔ·Â °ªÀ» Á¦´ë·Î Á¡°ËÇÏÁö ¸øÇؼ ¹ß»ýÇÏ´Â °ÍÀÌÁÒ. ÀÌ Ãë¾àÁ¡À» ¼º°øÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÑ °ø°ÝÀÚ¶ó¸é XXE¸¦ ÅëÇØ ÀÓÀÇÀÇ ÆÄÀÏÀ» ÀÐÀ» ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â 6¿ù Á¤±â ÆÐÄ¡¸¦ ÅëÇØ ÀÌ Ãë¾àÁ¡µéÀ» ÀüºÎ ÇØ°áÇß´Ù. ±×·¯³ª ¹ßÅ©´Ñ°ú º¹½Ã³Ê´Â ¡°´Ü¼ø Á¤º¸ ³ëÃâ Ãë¾àÁ¡ÀÌ ¾Æ´Ï¡±¶ó°í ¹Ý¹ÚÇß´Ù. ¡°IT °ü¸®ÀÚµéÀÌ »ç¿ëÇÏ´Â MMC ÆÄÀϵéÀÇ °æ¿ì, ¹é½ÅÀÌ ¾Ç¼º ÆÄÀÏ·Î ÆÇ´ÜÇÏÁö ¾Ê½À´Ï´Ù. ¶ÇÇÑ Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ ÇÇÇØÀÚÀÇ PC¸¦ ¿ÏÀüÈ÷ Àå¾ÇÇÏ´Â °á°ú¸¦ ÃÊ·¡ÇÒ ¼öµµ ÀÖ½À´Ï´Ù. ŽÁöµµ ¾î·Á¿îµ¥, °ø°Ý ¿µÇâ·ÂÀÌ Å©´Ù´Â °Ì´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡¿¡ ³ëÃâµÈ °Ç À©µµ¿ì 7, À©µµ¿ì 8.1, À©µµ¿ì 10, À©µµ¿ì ¼¹ö 2008ºÎÅÍ 2019±îÁö¶ó°í ÇÑ´Ù. ¡°¾ÆÁ÷±îÁö ½ÇÁ¦ °ø°Ý »ç·Ê´Â ¾øÁö¸¸ ¹Ýµå½Ã ¾÷µ¥ÀÌÆ® ÇØ¾ß ÇÒ ¹®Á¦ÀÔ´Ï´Ù. °ø°ÝÀڵ鿡°Ô Àå¾ÇµÈ ½Ã½ºÅÛÀÌ °ü¸®ÀÚ ÄÄÇ»ÅͶó°í »ý°¢Çغ¸¼¼¿ä. »ó»óÇϱ⠽ÈÀº ÀϵéÀÌ ¹ß»ýÇÒ °Ì´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. À©µµ¿ìÀÇ °ü¸®ÀÚ¿ë Äֿܼ¡¼ ¿©·¯ °³ÀÇ Ãë¾àÁ¡µé ¹ß°ßµÊ. ÅëÇÕÇØ CVE-2019-0948·Î °ü¸®.
2. MMCÀÇ ½º³ÀÀο¡ XSS ¹× XXE °ø°Ý ÅëÇØ Á¤º¸ ³ëÃâ, ½Ã½ºÅÛ Àå¾Ç µîÀÇ È¿°ú¸¦ ¾ò¾î³¾ ¼ö ÀÖÀ½.
3. 6¿ù Á¤±â ÆÐÄ¡ ÅëÇØ ÇØ°áµÈ °Í. µû¶ó¼ ÆÐÄ¡¸¦ Á¦ ¶§ ÇÏ¸é µÇ´Â ¹®Á¦.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>