보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

윈도우 SMB 프로토콜에서 발견된 취약점, SM블리드

입력 : 2020-06-11 17:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
3월과 6월 연달아 나온 SMB 취약점...다행히 MS가 정기 패치로 해결
SMB v3.1.1의 압축 기능과 관련된 취약점들...압축 기능 해제하는 건 임시방편


[보안뉴스 문가용 기자] 어제 마이크로소프트가 발표한 패치 중 서버 메시지 블록(Server Message Block, SMB) 프로토콜과 관련된 버그가 있어 보안 업계의 주목을 받고 있다. 이 취약점을 익스플로잇 할 경우 공격자들은 원격에서 인증 과정 없이 커널 메모리에 접근할 수 있게 된다고 한다.

[이미지 = utoimage]


가장 주목받고 있는 건 CVE-2020-1206으로, SM블리드(SMBleed)라고 불리기도 한다. 또 다른 SMB 취약점인 SMB고스트(SMBGhost)와 연계적으로 익스플로잇 됐을 때 원격 코드 실행 공격을 허용한다. SMB고스트 취약점은 CVE-2020-0796으로 지난 3월 MS가 패치한 바 있다.

SM블리드와 SMB고스트 모두 SMB 3.1.1버전의 압축 원리에서부터 발생하는 취약점들이다. SMB라는 프로토콜이 특정 요청을 처리할 때 발동된다. 마이크로소프트는 여기에 해당하는 요청들이 제대로 처리되도록 함으로써 이 취약점들 모두를 패치했다.

“서버를 공격하려면, 인증 과정을 거치지 않은 공격자가 특수하게 조작된 패킷을 공격 대상이 되는 서버에 전송하면 됩니다. 물론 이 서버는 취약한 SMB v3를 탑재하고 있는 것이어야 하고요. 클라이언트를 공격하려면, 인증 과정을 거치지 않은 공격자가 악성 SMB v3 서버를 공략해 설정 내용을 바꾸고, 클라이언트가 이 서버와 연결되도록 유도하면 됩니다.” MS가 보안 권고문을 통해 알린 내용이다.

SM블리드는 윈도우 10과 윈도우 서버 1903, 1909, 2004 버전 모두에서 발견되고 있다. 이전 버전의 윈도우 시스템들은 안전한 것으로 분석됐다. 아직까지 위험 완화 방법들은 없는 것으로 보이며, MS가 배포한 패치를 적용하는 것만이 답이다. 다만 SMB v3 압축 기능을 비활성화 하면 위험도가 낮아질 수 있다고 한다.

SMB고스트와 SM블리드를 모두 발견한 보안 업체 젝옵스(ZecOps)는 이미 양 취약점의 개념증명용 익스플로잇을 공개한 상태다. 다만 이 코드에 의도적으로 제한 사항을 첨부시켰다고 한다. 제대로 로그인이 되는 정상 크리덴셜과 ‘쓰기’가 가능한 공유 자원이 전제되어야만 개념증명 코드가 작동할 수 있다. 따라서 어느 정도 코드를 만질 수 있어야 이 개념증명 코드를 공격에 활용할 수 있다.

하지만 개념증명을 그렇게 만들어서 그렇지 “크리덴셜 없이도 성공할 수 있는 방법이 존재한다”고 젝옵스는 밝혔다. 실제 SMB고스트 취약점을 실험실에서 분석하는 과정 중 크리덴셜 없이 익스플로잇에 성공하기도 했었다고 한다. 이 부분에 대한 기술적 세부 사항은 아직 발표되지 않고 있다.

MS는 패치가 거의 유일한 답이라고 했지만, 젝옵스는 TCP 포트 445번을 차단하면 위험 수준을 낮출 수 있다고 설명했다. TCP 포트 445번을 통히 취약한 요소들이 발동되기 때문이다. 또한 SMB 3.1.1 압축 기능을 해제하는 것 또한 위험 완화의 방법이 될 수 있다고 했다. “하지만 MS의 공식 패치를 적용하는 것이 가장 안전한 방법입니다.”

3줄 요약
1. 서버 메시지 블록에서 발견된 취약점, 최근 몇 달 사이 연달아 패치됨.
2. 3월에는 SMB고스트, 6월에는 SM블리드. 둘 다 압축 원리에서부터 비롯됨.
3. 패치가 가장 안전한 해결책이나, TCP 포트 445번 닫고 SMB 3.1.1 압축 기능 비활성화시키면 위험 완화됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)