Windows BitLocker 드라이브 취약점, Kerberos 인증 우회 및 암호화 해독할 수 있어
[보안뉴스 김경애] 사용자가 암호화시켜 놓은 중요 문서들을 공격자가 쉽게 탈취할 수 있는 Windows BitLocker 드라이브 취약점. 이는 지난 11일 MS가 발표한 MS15-122 패치로 이를 중요(Important) 업데이트로 구분했다. 특히, 해당 취약점은 드라이브 암호화를 해독할 수 있는 것으로 드러났다.
▲BitLocker 부팅 프로세스(출처: 블랙햇 Bypassing Local Windows Authentication to Defeat Full Disk Encryption)
지난 23일 알약 블로그에 따르면 BitLocker는 허가되지 않은 사람이 디스크에 물리적으로 접근했을 때 내용을 열람할 수 없도록 한 디스크 암호화 기능이다. Windows7 Enterprise 버전 이상부터 탑재되어 있으며, 기능적으로는 부팅 드라이브 암호화(BitLocker)와 이동식 디스크 암호화(BitLocker To Go)로 구분된다.
그러나 보안인증을 우회하고 드라이브 암호를 해독할 수 있는 취약점이 발견됐다. 지난 11일 MS Security TechCenter에 따르면 공격자는 대상 컴퓨터에서 Kerberos 인증을 우회하고 BitLocker에 의해 보호되는 드라이브 암호를 해독할 수 있다며 대상 시스템에서 PIN이나 USB 키 없이 BitLocker가 사용된다고 밝혔다. 또한, 컴퓨터가 도메인에 가입되어 있고, 공격자가 컴퓨터에 대한 실제 액세스 권한을 가지고 있는 경우 이를 우회할 수 있다고 덧붙였다.
Synosys 보안전문가 Ian Haken 연구에 따르면, BitLocker의 보안기능은 우회할 수 있는 취약점으로 개인 컴퓨터가 도메인에 연결되어 있거나 권한이 있는 자가 해당 컴퓨터를 이용해서 로그인을 한 적이 있다면 공격자는 사용자의 이전 비밀번호를 이용해 임의의 도메인 컨트롤러를 만들어 공격할 수 있다.
취약점 테스트로 Debian Linux에서 삼바(Samba)를 이용해 공격을 시도한 결과, 공격자는 도메인과 사용자 ID를 획득한 후, 네트워크를 통해 식별한 도메인 컨트롤러에 목표 디바이스를 연결시킨다. 그 후 해커는 도메인 사용자가 이전에 사용했었던 비밀번호로 로그인한다. 해당 비밀번호는 이미 만료되었기 때문에 컴퓨터는 해커에게 새로운 비밀번호를 설정하도록 한다.
로그인이 되면 해커는 사용자가 암호화시켜 놓은 이메일, 저작권관련 자료, 비밀번호, 로그 기록 등 모든 DB에 접근이 가능하다. 따라서 사용자가 로컬 관리자라면, 해커는 커널 내부에 있는 BitLocker 키까지 얻을 수 있어 각별한 주의가 필요하다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 사용자가 암호화시켜 놓은 중요 문서들을 공격자가 쉽게 탈취할 수 있는 Windows BitLocker 드라이브 취약점. 이는 지난 11일 MS가 발표한 MS15-122 패치로 이를 중요(Important) 업데이트로 구분했다. 특히, 해당 취약점은 드라이브 암호화를 해독할 수 있는 것으로 드러났다.
▲BitLocker 부팅 프로세스(출처: 블랙햇 Bypassing Local Windows Authentication to Defeat Full Disk Encryption)
지난 23일 알약 블로그에 따르면 BitLocker는 허가되지 않은 사람이 디스크에 물리적으로 접근했을 때 내용을 열람할 수 없도록 한 디스크 암호화 기능이다. Windows7 Enterprise 버전 이상부터 탑재되어 있으며, 기능적으로는 부팅 드라이브 암호화(BitLocker)와 이동식 디스크 암호화(BitLocker To Go)로 구분된다.
그러나 보안인증을 우회하고 드라이브 암호를 해독할 수 있는 취약점이 발견됐다. 지난 11일 MS Security TechCenter에 따르면 공격자는 대상 컴퓨터에서 Kerberos 인증을 우회하고 BitLocker에 의해 보호되는 드라이브 암호를 해독할 수 있다며 대상 시스템에서 PIN이나 USB 키 없이 BitLocker가 사용된다고 밝혔다. 또한, 컴퓨터가 도메인에 가입되어 있고, 공격자가 컴퓨터에 대한 실제 액세스 권한을 가지고 있는 경우 이를 우회할 수 있다고 덧붙였다.
Synosys 보안전문가 Ian Haken 연구에 따르면, BitLocker의 보안기능은 우회할 수 있는 취약점으로 개인 컴퓨터가 도메인에 연결되어 있거나 권한이 있는 자가 해당 컴퓨터를 이용해서 로그인을 한 적이 있다면 공격자는 사용자의 이전 비밀번호를 이용해 임의의 도메인 컨트롤러를 만들어 공격할 수 있다.
취약점 테스트로 Debian Linux에서 삼바(Samba)를 이용해 공격을 시도한 결과, 공격자는 도메인과 사용자 ID를 획득한 후, 네트워크를 통해 식별한 도메인 컨트롤러에 목표 디바이스를 연결시킨다. 그 후 해커는 도메인 사용자가 이전에 사용했었던 비밀번호로 로그인한다. 해당 비밀번호는 이미 만료되었기 때문에 컴퓨터는 해커에게 새로운 비밀번호를 설정하도록 한다.
로그인이 되면 해커는 사용자가 암호화시켜 놓은 이메일, 저작권관련 자료, 비밀번호, 로그 기록 등 모든 DB에 접근이 가능하다. 따라서 사용자가 로컬 관리자라면, 해커는 커널 내부에 있는 BitLocker 키까지 얻을 수 있어 각별한 주의가 필요하다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
