세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
MS, 패치 튜즈데이 통해 치명적인 취약점 패치
  |  입력 : 2017-07-12 17:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
NTLM에 있던 취약점 두 개, 하나만 패치 나와
패치 나오지 않은 취약점은 설계상 오류...MS도 이미 인지하고 있어


[보안뉴스 문가용 기자] 마이크로소프트가 윈도우 NT LAN Manager(일명 NTLM)의 보안 프로토콜에 있던 치명적인 취약점을 패치했다. 해당 취약점은 실시간 위협 대응 전문 업체인 프리엠트(Preempt)의 연구원들이 발견한 것으로 프로토콜의 처리 시 발생하는 오류이며, 공격자들이 도메인 관리자 계정을 만들 수 있도록 해준다. 총 두 가지 취약점으로 이번 페치 튜즈데이(Patch Tuesday)를 통해서는 한 가지만 수정됐다.

[이미지 = iclickart]


NTLM은 인증 기능과 관련된 프로토콜의 집합체로, 여기서 발생하는 오류는 크리덴셜과 관련된 보안 사고를 일으킬 수 있게 되며, 위험도는 대부분 ‘치명적’으로 분류된다. 첫 번째 NTLM 오류는 이번에 마이크로소프트가 패치한 것으로 CVE-2017-8563으로 분류되었고, “해킹 역사상 가장 널리 알릴 필요가 있는 취약점”이라고 프리엠트는 설명한다.

“이 취약점을 악용하면 공격자가 표적 서버와 동일한 세션을 만들 수 있게 되며, 암호화된 사용자 비밀번호 해시를 사용해 NTLM의 인증 과정을 통과할 수 있게 됩니다. 그러고 난 후 공격 대상이 되는 시스템을 멀웨어로 감염시킬 수 있게 되죠. NTLM에 대한 릴레이 공격이 가능한 겁니다.” 프리엠트 측의 설명이다.

NTLM 릴레이 공격에 당할 수 있는 프로토콜 중에는 LDAP(Lightweigth Directory Access Protocol)도 포함된다. LDAP는 중간자 공격을 막기 위한 서명 방어를 따로 가지고 있는데, 이 방어 체제도 크리덴셜을 직접 공격할 때 무용지물이 된다는 뜻이다. 그렇기 때문에 시스템 접근 권한을 이미 확보한 공격자는 크리덴셜을 도메인 컨트롤러에 보내 도메인 계정을 만들고 네트워크 전체를 장악할 수 있게 된다.

하지만 이런 공격은 이번 패치를 적용할 때 해결될 수 있다고 마이크로소프트는 설명한다. 그러나 SSL/TLS를 통한 LDAP 인증 과정을 훨씬 더 강력하게 만들려면 관리자들이 도메인 컨트롤러에 LdapEnforceChannelBinding 레지스트리를 생성해야 한다고 마이크로소프트는 권장한다.

권한이 높은 크리덴셜에 접근하는 방법은 다양하다. 피싱에서부터 물리적으로 기기를 탈취하는 것도 다 이런 공격에 포함된다. 도메인 관리자 권한이 있는 시스템이 감염되었다면, 해당 시스템으로 오고가는 모든 연결 방법(SBM, WMI, SQL, HTTP)으로부터 네트워크 전체를 공격하는 것도 가능하게 된다. 이 점에 있어서 윈도우 서버 모든 버전이 취약하다.

“누군가 관리자 계정으로 기기에 접속하게 되면, 같은 크리덴셜을 활용해 새로운 도메인 관리자 계정을 만들 수 있게 됩니다.” 프리엠트의 수석 연구원인 야론 지너(Yaron Ziner)의 설명이다. “시스템 한 대에만 그런 식의 공격을 성공시키면, 사실상 네트워크 전체를 가져갔다고 봐도 되는 정도입니다.”

프리엠트는 이러한 취약점을 노리는 공격이 얼마나 현실적인지 알아보기 위해 추가로 조사를 이어갔고, 그 결과 기업 네트워크의 약 50~60%에서 ‘권한이 높은 계정이 모든 시스템에 직접 연결되어 있다’는 사실을 발견해냈다고 한다. 공격자가 네트워크 전체에 대한 통제권을 가져가기 알맞은 환경이라는 것이다. “이론상 계정을 추가로 만들 정도의 권한만 있으면 이 공격을 누구나 할 수 있습니다.”

워너크라이와 페트야의 그림자
지너는 “권한을 상승시키는 취약점은 매우 심각한 위협거리”라며 “워너크라이와 페트야의 위협과도 유사성 및 연관성이 있다”고 설명한다. “워너크라이나 페트야도 딱 한 대의 감염된 시스템으로부터 무섭게 빠른 속도로 번지기 시작했지요.”

프리엠트가 찾아낸 두 번째 NTLM 오류는 ‘설계상 오류’로 분류된다. 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)의 제한된 관리자(Restricted-Admin) 모드에 영향을 준다. RDP의 제한된 관리자 모드란 사용자들이 원격 기기에 비밀번호 없이 접근할 수 있도록 해주는 것이다. 이는 공격자들이 활용했을 때 매우 ‘친절한’ 공격 통로가 될 수도 있다.

프리엠트의 연구원들은 RDP의 제한된 관리자 모드에서 인증 시스템이 NTLM으로 다운그레이드하는 현상을 우연히 목격했다고 한다. “그 말은 곧 크리덴셜 릴레이 공격처럼 NTLM에서 가능한 공격을 RDP 제한된 관리자 모드에서도 실행할 수 있다는 것입니다. 즉 원격에 있는 기기에 접근하기 위해 상승된 권한을 사용하는 모든 사람들의 크리덴셜을 위험에 빠트릴 수 있게 되는 것입니다.”

이는 즉 위에서 언급한 첫 번째 NTLM 취약점과도 연계될 수 있다는 뜻이 된다. “첫 번째 취약점에 대한 패치를 하지 않았다면 제한된 관리자 모드를 사용해선 안 됩니다. 매우 위험한 일이 될 겁니다.”

프리엠트는 이 두 가지 취약점을 모두 마이크로소프트에 알렸다. 하지만 마이크로소프트는 “이미 알고 있는 내용이다”라는 답을 보내왔다고 한다. “마이크로소프트도 해당 문제점을 이미 인지하고 있었고, 설계상 오류인 점도 분명히 있다고 인정했습니다.” 설계상 오류라고 하면 종종 패치로 해결될 수 없는 것을 뜻한다.

결국 가장 안전한 건 패치를 하는 것이 아니라 “NTLM을 아예 사용하지 않거나 굉장히 통제된 상황에서만 사용해야 한다”는 뜻이 된다. 또한 권한이 높은 계정들의 활동들도 주의 깊게 모니터링해야 한다. “특히 계정 생성과 관련된 활동을 잘 봐야 합니다. 누가 왜 언제 계정을 추가로 만들었는지, 어느 정도의 권한이 주어졌는지를 모니터링 해야겠죠.”

보안 업체 퀄리스(Qualys)의 제품 관리 책임자인 지미 그래함(Jimmy Graham)은 “CVE-2017-8589부터 패치하라”고 권장한다. 이는 Windows Search 서비스의 오류로 원격 익스플로잇이 가능하기 때문이다. “그리고 그 다음 중요한 패치는 CVE-2017-8463 취약점에 대한 것입니다. Windows Explorer에 있는 취약점입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#패치   #Ms   #네트워크   #감염   #멀웨어   #모니터링   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)