윈도우 RDG에서 발견된 두 가지 취약점, 개념증명 익스플로잇 등장

입력 : 2020-01-28 14:51

원격 데스크톱 프로토콜의 라우팅 서비스를 담당하는 RDG...메모리 변형 취약점 나와
MS가 배포한 패치 적용하는 게 최우선이나, 특정 UDP를 비활성화 해도 도움돼

[보안뉴스 문가용 기자] 최근 패치된 원격 데스크톱 게이트웨이(Remote Desktop Gateway, RDG) 취약점 두 가지에 대한 개념증명 익스플로잇이 발표됐다. 이 두 가지 취약점을 성공적으로 익스플로잇 할 경우 원격 코드 실행이 가능하다는 것이 입증됐다.


원격 데스크톱 게이트웨이는 윈도우 서버의 구성 요소 중 하나로, 이전에는 터미널 서비스 게이트웨이(Terminal Services Gateway)라고 불렸다. 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 서비스를 직접 인터넷에 노출시키지 않게 하는 것으로, 이론상 공격 표면을 줄여주는 기능을 담당한다. RDP를 위한 일종의 라우팅 서비스라고도 볼 수 있다.

하지만 여기서 최근 두 가지 치명적인 메모리 변형 취약점이 발견되었다. 인증 과정을 통과하지 않은 공격자가 특수하게 조작된 요청을 RDP를 통해 전송함으로써 메모리 변형을 일으키고, 임의의 코드를 실행할 수 있게 해주는 취약점이었다. 익스플로잇 과정 중 사용자(피해자)의 개입은 전혀 필요 없다고 밝혀졌다.

문제의 취약점들은 CVE-2020-0610과 CVE-2020-0609로, 윈도우 서버 2012, 2016, 2019 버전에서 발견되고 있다. 마이크로소프트는 2020년 1월 보안 업데이트를 통해 이 문제들을 해결했다. 패치가 발표된 날은 1월 14일이다.

패치가 발표되고서 며칠 지나지 않아 워너크라이(WannaCry) 사태로 이름을 떨친 보안 전문가 마커스 헛친스(Marcus Hutchins)가 이 두 가지 취약점들에 대한 상세 기술 정보를 공개했고, 그 후로 개념증명 익스플로잇들이 여기저기서 공개되고 있는 상황이다. 그러자 헛친스는 사용자들이 자신들의 서버를 직접 검사해볼 수 있는 스캐너의 소스코드를 공개했다. 소스코드가 공개된 곳은 여기(https://github.com/MalwareTech/RDGScanner)다.

온라인 상에서 올리폰(Ollypwn)이라는 이름을 사용하는 덴마크의 한 보안 전문가는 디도스 공격을 가능케 하는 개념증명 익스플로잇을 공개했다. 이 익스플로잇은 CVE-2020-0609와 CVE-2020-0610을 모두 공격하는 것이며, 올리폰은 이 두 가지 취약점을 블루게이트(BlueGate)라고 명명했다. 이 PoC 코드는 여기(https://github.com/ollypwn/BlueGate)서 열람이 가능하다.

루카 마르셀리(Luca Marcelli)라는 보안 전문가도 정상적으로 작동하는 개념증명용 익스플로잇을 개발하는 데 성공했다고 주장했다. 올리폰과는 달리 원격 코드 실행까지 이어지는 익스플로잇이라고 하는데, 아직 코드가 공개되지는 않은 상황이다. 조만간 자신의 블로그를 통해 공개할 것이라고 한다.

헛친스에 따르면 위 취약점들은 RDG의 코드 중 UDP를 처리하는 부분에서 문제를 일으키고 있다고 한다. RDG는 HTTP와 HTTPS 모두를 지원하는데, 이것과 관련된 UDP 포트를 비활성화 하거나 방화벽으로 보호하면 익스플로잇을 충분히 막을 수 있다고도 밝혔다. 물론 MS의 패치를 적용하는 게 가장 좋은 방법이다.

RDP와 관련이 있는 취약점들은 공격자들 사이에서 꽤나 인기가 높은 편에 속한다. 따라서 익스플로잇도 활발하게 이뤄지고, 연구도 다방면에서 발생하곤 한다. 최근 발견된 대표적 RDP 관련 취약점은 블루킵(BlueKeep)으로, 해커들은 MS가 패치를 발표한 이후 한참이 지나서 익스플로잇을 시작했었다.

3줄 요약
1. 원격 데스크톱 게이트웨이에서 최근 두 가지 치명적 취약점 패치됨.
2. 다양한 개념증명용 코드가 발표되기 시작하면서 위험 가능성은 더 높아짐.
3. 패치를 적용할 수 없다면 특정 UDP 포트를 비활성화 해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  팔로알토 네트웍스 방화벽에서 발견된 제로데이...

• 2

  텔레그램, 악성파일 실행할 수 있는 제로데이...

• 3

  팔로알토 네트웍스 방화벽에서 10점 만점 제...

• 4

  앱코, 카카오톡 계정 사칭해 현금 입금 유도...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...