윈도우 SMB 프로토콜에서 발견된 취약점, SM블리드

3월과 6월 연달아 나온 SMB 취약점...다행히 MS가 정기 패치로 해결
SMB v3.1.1의 압축 기능과 관련된 취약점들...압축 기능 해제하는 건 임시방편

[보안뉴스 문가용 기자] 어제 마이크로소프트가 발표한 패치 중 서버 메시지 블록(Server Message Block, SMB) 프로토콜과 관련된 버그가 있어 보안 업계의 주목을 받고 있다. 이 취약점을 익스플로잇 할 경우 공격자들은 원격에서 인증 과정 없이 커널 메모리에 접근할 수 있게 된다고 한다.

[이미지 = utoimage]

가장 주목받고 있는 건 CVE-2020-1206으로, SM블리드(SMBleed)라고 불리기도 한다. 또 다른 SMB 취약점인 SMB고스트(SMBGhost)와 연계적으로 익스플로잇 됐을 때 원격 코드 실행 공격을 허용한다. SMB고스트 취약점은 CVE-2020-0796으로 지난 3월 MS가 패치한 바 있다.

SM블리드와 SMB고스트 모두 SMB 3.1.1버전의 압축 원리에서부터 발생하는 취약점들이다. SMB라는 프로토콜이 특정 요청을 처리할 때 발동된다. 마이크로소프트는 여기에 해당하는 요청들이 제대로 처리되도록 함으로써 이 취약점들 모두를 패치했다.

“서버를 공격하려면, 인증 과정을 거치지 않은 공격자가 특수하게 조작된 패킷을 공격 대상이 되는 서버에 전송하면 됩니다. 물론 이 서버는 취약한 SMB v3를 탑재하고 있는 것이어야 하고요. 클라이언트를 공격하려면, 인증 과정을 거치지 않은 공격자가 악성 SMB v3 서버를 공략해 설정 내용을 바꾸고, 클라이언트가 이 서버와 연결되도록 유도하면 됩니다.” MS가 보안 권고문을 통해 알린 내용이다.

SM블리드는 윈도우 10과 윈도우 서버 1903, 1909, 2004 버전 모두에서 발견되고 있다. 이전 버전의 윈도우 시스템들은 안전한 것으로 분석됐다. 아직까지 위험 완화 방법들은 없는 것으로 보이며, MS가 배포한 패치를 적용하는 것만이 답이다. 다만 SMB v3 압축 기능을 비활성화 하면 위험도가 낮아질 수 있다고 한다.

SMB고스트와 SM블리드를 모두 발견한 보안 업체 젝옵스(ZecOps)는 이미 양 취약점의 개념증명용 익스플로잇을 공개한 상태다. 다만 이 코드에 의도적으로 제한 사항을 첨부시켰다고 한다. 제대로 로그인이 되는 정상 크리덴셜과 ‘쓰기’가 가능한 공유 자원이 전제되어야만 개념증명 코드가 작동할 수 있다. 따라서 어느 정도 코드를 만질 수 있어야 이 개념증명 코드를 공격에 활용할 수 있다.

하지만 개념증명을 그렇게 만들어서 그렇지 “크리덴셜 없이도 성공할 수 있는 방법이 존재한다”고 젝옵스는 밝혔다. 실제 SMB고스트 취약점을 실험실에서 분석하는 과정 중 크리덴셜 없이 익스플로잇에 성공하기도 했었다고 한다. 이 부분에 대한 기술적 세부 사항은 아직 발표되지 않고 있다.

MS는 패치가 거의 유일한 답이라고 했지만, 젝옵스는 TCP 포트 445번을 차단하면 위험 수준을 낮출 수 있다고 설명했다. TCP 포트 445번을 통히 취약한 요소들이 발동되기 때문이다. 또한 SMB 3.1.1 압축 기능을 해제하는 것 또한 위험 완화의 방법이 될 수 있다고 했다. “하지만 MS의 공식 패치를 적용하는 것이 가장 안전한 방법입니다.”

3줄 요약
1. 서버 메시지 블록에서 발견된 취약점, 최근 몇 달 사이 연달아 패치됨.
2. 3월에는 SMB고스트, 6월에는 SM블리드. 둘 다 압축 원리에서부터 비롯됨.
3. 패치가 가장 안전한 해결책이나, TCP 포트 445번 닫고 SMB 3.1.1 압축 기능 비활성화시키면 위험 완화됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)