세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
MS 보안 프로토콜에서 발견된 취약점, 7개월 만에 패치
  |  입력 : 2018-03-14 14:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CredSSP의 인증 방식에서 오류 발견...다음 주 익스플로잇 기술/도구 공개
익스플로잇 쉽지 않지만 와이파이 통한 높은 권한 계정 접속 삼가야


[보안뉴스 문가용 기자] 마이크로소프트의 크리덴셜 시큐리티 서포트 프로바이더 프로토콜(Credential Security Support Provider, CredSSP)에서 치명적인 취약점이 발견됐다. 이 취약점을 악용할 경우 네트워크의 도메인 서버와 기타 시스템들에 대한 통제권을 장악할 수 있게 된다고 한다.

[이미지 = iclickart]


보안 업체 프리엠트(preempt)의 전문가들은 이전에 알려지지 않았던 원격 코드 실행 취약점을 발굴해내는 데 성공했다. 이 취약점은 윈도우 모든 버전에 존재하고 있으며, 지난 해 8월 마이크로소프트 측에 전달됐다. 그리고 7개월 만에 마이크로소프트는 오늘 패치 튜즈데이를 통해 CVE-2018-0886에 대한 픽스를 배포하기 시작했다.

CredSSP가 가지고 있던 이 취약점은 중간자 공격을 통해 익스플로잇이 가능하다고 알려져 있다. 클라이언트 기기와 서버가 원격 데스크톱 프로토콜(RDP)과 윈도우 원격 관리(WinRM)을 통해 서로를 인증하는 과정에서 이러한 공격이 성립된다고 한다. CredSSP는 크리덴셜을 암호화해서 윈도우 클라이언트로부터 서버로 포워딩하는 것을 담당한다.

프리엔트의 수석 연구원인 야론 지나(Yaron Zinar)는 “프로토콜(CredSSP) 내에서 고전적인 실수를 발견했고, 이를 활용해 중간자 공격을 감행하는 데 성공했다”고 밝혔다. 실제 공격 방법은 아직 공개되지 않았는데 “다음 주쯤 발표할 예정”이라고 한다. 이 날 해당 취약점을 익스플로잇하는 오픈소스 툴도 함께 발표할 것이라고 한다.

지나는 “CredSSP가 작동하면, 서버의 인증서를 클라이언트가 확인하지 않는다”며 “서명만 되지, 해시 처리는 되지 않는다”고 보다 상세하게 설명을 이어갔다. “그러므로 악성 실행 파일이 포함되어 있는 악성 인증서를 만들어내는 것이 가능하게 되는 것이죠. 클라이언트는 CredSSP 때문에 속을 수밖에 없습니다.”

물론 위에 밝힌 대로 공격이 성립하려면 공격자가 RDP니 WinRM 세션이 발생할 때 클라이언트와 서버 사이에서 ‘중간자 공격’을 실시해야만 한다. 와이파이망을 통해 침투하거나, 물리적으로 네트워크에 접근할 수 있어야만 한다. 와이파이로 접근했다면 크랙(KRACK)과 같은 취약점을 익스플로잇할 수 있다.

“꽤 높은 권한을 가진 사용자로부터 세션을 훔쳐내는 데 성공한 공격자라면 여러 명령어를 실행시킬 수 있습니다. 원격 절차 호출이 디폴트로 활성화된 도메인 통제 장치에서 특히나 치명적으로 작용할 수 있습니다. 또한 공격이 성공해도 사용자(피해자)가 보는 건 실패했다는 RDP 오류 메시지일 뿐입니다. 즉 공격이 이뤄지고 있는 걸 탐지해낼 방법이라고는 원격 세션이 잘못됐다는 메시지라는 건데, 이는 일반 사용자들에게 있어 희박한 가능성이죠.”

물론 익스플로잇이 쉬운 건 아니다. 지나 역시 “익스플로잇을 성공시키기 매우 어려웠다”고 실토한다. “사용할 수 있는 패킷도 제한적이었고, 인증서 역시 그랬습니다.”

마이크로소프트는 패치를 발표하며 “CredSSP의 인증 방식과 과정을 올바르게 손봤다”며 “그룹 정책(Group Policy) 설정이나 레지스트리 기반의 설정을 사용할 것”을 권장했다. “관리자라면 그룹 정책을 적용하고 Force updated clients나 Mitigated 옵션을 활성화시킬 것을 권합니다. 이 옵션을 바꾸면 시스템 리부트를 해야만 합니다.”

그러므로 프리엠트는 “가장 좋은 방어법은 최신 패치를 적용하는 것”이라고 말한다. 하지만 그것만으로 충분치 않다고도 설명한다. “환경설정을 좀 손봐야 합니다. RDP와 DCE/RPC를 비활성화시키는 것도 큰 도움이 됩니다. 그 외에는 권한이 높은 계정의 크리덴셜 사용을 최소화시키고, 그러한 계정은 와이파이를 통해 접근하지 않는 것도 좋습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#크리덴셜   #MS   #픽스   #프로토콜   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)