애저 에이전트와 VM 액세스 플러그인 있으면 공격 가능
마이크로소프트는 “취약점 아니다”...공격 성공 위한 전제 조건 많은 건 사실
[보안뉴스 문가용 기자] 마이크로소프트의 윈도우 애저 게스트 에이전트(Windows Azure Guest Agent)를 통해 해커들이 관리자 비밀번호를 평문으로 훔쳐내는 방법이 발견됐다. 이는 보안 업체 가디코어(Guardicore)의 연구원들의 성과로, 이 방법이 해커들 사이에 알려지게 되면 애저와 호환이 되는 모든 종류의 기기들에 영향이 미친다고 한다.
[이미지 = iclickart]
애저 게스트 에이전트는 마이크로소프트 애저의 서비스형 인프라(IaaS)와 연결시켜주는 플러그인이다. 애저 인프라로부터 태스크를 받고, 시스템에서 실행시켜주는 역할을 한다. 이 태스크들은 기기의 디스크에 저장된다. 한편 VM 액세스(VM Access)는 사용자들이 로그인을 할 수 없는 상태가 되었을 때 가상기기로의 접근 권한을 복구시켜주는 플러그인이다.
가디코어는 애저 게스트 에이전트를 분석하며, VM 액세스 플러그인이 사용되는 시스템의 경우 애저 가상기기에 대한 통제권을 해커들이 가져간 후 크리덴셜을 평문으로 취득할 수 있게 된다는 걸 발견했다고 주장했다. 이러한 공격 가능성은 2015년부터 열려있었다고 가디코어는 주장한다. 물론 이러한 점을 마이크로소프트와 공유했다.
가디코어의 수석 연구원인 오프리 지브(Ofri Ziv)는 “게스트 에이전트와 기저에 깔려 있는 인프라 간의 통신 채널을 들여다봤을 때 민감한 정보가 부주의하게 다뤄지고 있다는 걸 금세 알 수 있었다”고 설명한다. 하지만 이는 취약점으로 인한 익스플로잇 방법이 아니라고 마이크로소프트 측은 주장한다.
“가디코어가 발견한 익스플로잇 기술은 보안 취약점을 악용한 것이 아닙니다. 관리자 권한을 취득했다는 걸 전제로 이뤄지는 공격이죠. 마이크로소프트는 고객들의 경험을 향상시키기 위해 새로운 기능을 계속해서 시도하고 있으며, 고객들에게 보안 실천 수칙을 지킬 것을 권장하고 있습니다. 서비스들마다 고유한 비밀번호를 설정하는 것도 좋은 방법입니다.”
하지만 가디코어의 전문가들은 “애저 게스트 에이전트가 비밀번호 리셋 명령을 접수하고 처리하는 방법에 오류가 있다”고 말한다. 이들이 말하는 비밀번호 리셋 기능은 암호화된 민감한 데이터를 처리하는데, 이 과정에 발생하는 워크플로우를 공격자가 어뷰징함으로써 새로운 크리덴셜을 평문 상태로 훔칠 수 있다는 것이다. 지브는 “기기 내 저장되어 있는 인증서를 사용하면 데이터를 복호화하는 것도 가능하다”고 설명한다.
이 공격이 성립하려면 상기했듯 기기에 VM 액세스 플러그인이 설치되어 있어야 한다. 또한 사용자가 VM 액세스를 사용해 비밀번호를 최소 한 번 변경한 이력이 있어야 한다. 공격자 또한 애저 기기로의 관리자 권한을 가지고 있어야만 한다. 이 모든 조건이 전제되어야만 공격은 성공할 수 있다. 지브는 “관리자 권한을 훔치는 게 요즘 그렇게 어려운 일도 아니고, 거기까지만 도달하면 나머지 공격 과정은 상당히 간단하다”고 말한다.
이러한 공격 원리는 애저가 사용되고 있는 기기의 종류를 가리지 않는다는 것도 큰 문제라고 가디코어 측은 주장한다. “윈도우, 리눅스 할 것 없이 애저 게스트 에이전트가 있는 기기라면 모두 이 공격이 통합니다. 윈도우 자체 방어 메커니즘인 크리덴셜 가드(Credentials Guard)가 있어도 소용이 없습니다.”
비밀번호를 평문으로 훔칠 수 있다는 건 기업에 있어 크고 강력한 위협이 된다. “비밀번호를 쥐고 있는 공격자들은 기업의 각종 서비스는 물론 기업 내 기기들과 데이터베이스에도 아무렇지 않게 접근할 수 있게 됩니다. 심지어 다른 플랫폼의 여러 서비스에도 훔친 비밀번호들을 대입해 공격을 성공시킬 수도 있죠.”
지브의 설명은 계속된다. “예를 들어 AzureForTheWin1이라는 비밀번호를 훔쳤다고 합시다. 이런 비밀번호들에는 패턴이 있는 게 보통입니다. 공격자들은 비밀번호 내 심리를 잘 아는 사람들인데, 이런 비밀번호를 취하면 곧바로 AzureForTheWin! 이라든가 AzureForTheWin2라는 비밀번호들도 유추해 시도할 수 있게 됩니다. 성공 확률이 낮지만은 않아요. 비밀번호 해시를 훔친다고 해도 이러한 이점은 얻을 수 없죠.”
가디코어는 이러한 문제를 6개월 전에 마이크로소프트 측에 알렸다. 하지만 마이크로소프트는 이것이 패치로 해결될 수 있는 ‘취약점’이라고 분석하고 있지 않고 있다. 따라서 아직까지 특별한 조치가 취해지고 있지는 않다. 지브는 “그 동안 얼마나 많은 공격자들이 이를 노리고 공격했는지는 알 수가 없다”며 “애저 관련 플러그인들의 인기가 상당히 높으며 많은 기기들에서 사용되고 있다는 걸 감안하면 (마이크로소프트가 말하는 것처럼) 위험 수준이 낮지는 않은 것 같다”고 말한다.
그러면서 지브는 “애저 사용자들이라면 제일 먼저 애저 기기에 저장된 비밀번호 환경설정 파일들을 리셋해본 경험이 있는지 확인하고, 그렇다면 이 파일들을 삭제하는 것을 권고한다”고 설명한다. “애저의 비밀번호 리셋 기능을 사용해본 적이 있다면 침해되었을 것이라고 생각하고 그에 맞는 보안 조치를 취하는 게 안전합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
마이크로소프트는 “취약점 아니다”...공격 성공 위한 전제 조건 많은 건 사실
[보안뉴스 문가용 기자] 마이크로소프트의 윈도우 애저 게스트 에이전트(Windows Azure Guest Agent)를 통해 해커들이 관리자 비밀번호를 평문으로 훔쳐내는 방법이 발견됐다. 이는 보안 업체 가디코어(Guardicore)의 연구원들의 성과로, 이 방법이 해커들 사이에 알려지게 되면 애저와 호환이 되는 모든 종류의 기기들에 영향이 미친다고 한다.
[이미지 = iclickart]
애저 게스트 에이전트는 마이크로소프트 애저의 서비스형 인프라(IaaS)와 연결시켜주는 플러그인이다. 애저 인프라로부터 태스크를 받고, 시스템에서 실행시켜주는 역할을 한다. 이 태스크들은 기기의 디스크에 저장된다. 한편 VM 액세스(VM Access)는 사용자들이 로그인을 할 수 없는 상태가 되었을 때 가상기기로의 접근 권한을 복구시켜주는 플러그인이다.
가디코어는 애저 게스트 에이전트를 분석하며, VM 액세스 플러그인이 사용되는 시스템의 경우 애저 가상기기에 대한 통제권을 해커들이 가져간 후 크리덴셜을 평문으로 취득할 수 있게 된다는 걸 발견했다고 주장했다. 이러한 공격 가능성은 2015년부터 열려있었다고 가디코어는 주장한다. 물론 이러한 점을 마이크로소프트와 공유했다.
가디코어의 수석 연구원인 오프리 지브(Ofri Ziv)는 “게스트 에이전트와 기저에 깔려 있는 인프라 간의 통신 채널을 들여다봤을 때 민감한 정보가 부주의하게 다뤄지고 있다는 걸 금세 알 수 있었다”고 설명한다. 하지만 이는 취약점으로 인한 익스플로잇 방법이 아니라고 마이크로소프트 측은 주장한다.
“가디코어가 발견한 익스플로잇 기술은 보안 취약점을 악용한 것이 아닙니다. 관리자 권한을 취득했다는 걸 전제로 이뤄지는 공격이죠. 마이크로소프트는 고객들의 경험을 향상시키기 위해 새로운 기능을 계속해서 시도하고 있으며, 고객들에게 보안 실천 수칙을 지킬 것을 권장하고 있습니다. 서비스들마다 고유한 비밀번호를 설정하는 것도 좋은 방법입니다.”
하지만 가디코어의 전문가들은 “애저 게스트 에이전트가 비밀번호 리셋 명령을 접수하고 처리하는 방법에 오류가 있다”고 말한다. 이들이 말하는 비밀번호 리셋 기능은 암호화된 민감한 데이터를 처리하는데, 이 과정에 발생하는 워크플로우를 공격자가 어뷰징함으로써 새로운 크리덴셜을 평문 상태로 훔칠 수 있다는 것이다. 지브는 “기기 내 저장되어 있는 인증서를 사용하면 데이터를 복호화하는 것도 가능하다”고 설명한다.
이 공격이 성립하려면 상기했듯 기기에 VM 액세스 플러그인이 설치되어 있어야 한다. 또한 사용자가 VM 액세스를 사용해 비밀번호를 최소 한 번 변경한 이력이 있어야 한다. 공격자 또한 애저 기기로의 관리자 권한을 가지고 있어야만 한다. 이 모든 조건이 전제되어야만 공격은 성공할 수 있다. 지브는 “관리자 권한을 훔치는 게 요즘 그렇게 어려운 일도 아니고, 거기까지만 도달하면 나머지 공격 과정은 상당히 간단하다”고 말한다.
이러한 공격 원리는 애저가 사용되고 있는 기기의 종류를 가리지 않는다는 것도 큰 문제라고 가디코어 측은 주장한다. “윈도우, 리눅스 할 것 없이 애저 게스트 에이전트가 있는 기기라면 모두 이 공격이 통합니다. 윈도우 자체 방어 메커니즘인 크리덴셜 가드(Credentials Guard)가 있어도 소용이 없습니다.”
비밀번호를 평문으로 훔칠 수 있다는 건 기업에 있어 크고 강력한 위협이 된다. “비밀번호를 쥐고 있는 공격자들은 기업의 각종 서비스는 물론 기업 내 기기들과 데이터베이스에도 아무렇지 않게 접근할 수 있게 됩니다. 심지어 다른 플랫폼의 여러 서비스에도 훔친 비밀번호들을 대입해 공격을 성공시킬 수도 있죠.”
지브의 설명은 계속된다. “예를 들어 AzureForTheWin1이라는 비밀번호를 훔쳤다고 합시다. 이런 비밀번호들에는 패턴이 있는 게 보통입니다. 공격자들은 비밀번호 내 심리를 잘 아는 사람들인데, 이런 비밀번호를 취하면 곧바로 AzureForTheWin! 이라든가 AzureForTheWin2라는 비밀번호들도 유추해 시도할 수 있게 됩니다. 성공 확률이 낮지만은 않아요. 비밀번호 해시를 훔친다고 해도 이러한 이점은 얻을 수 없죠.”
가디코어는 이러한 문제를 6개월 전에 마이크로소프트 측에 알렸다. 하지만 마이크로소프트는 이것이 패치로 해결될 수 있는 ‘취약점’이라고 분석하고 있지 않고 있다. 따라서 아직까지 특별한 조치가 취해지고 있지는 않다. 지브는 “그 동안 얼마나 많은 공격자들이 이를 노리고 공격했는지는 알 수가 없다”며 “애저 관련 플러그인들의 인기가 상당히 높으며 많은 기기들에서 사용되고 있다는 걸 감안하면 (마이크로소프트가 말하는 것처럼) 위험 수준이 낮지는 않은 것 같다”고 말한다.
그러면서 지브는 “애저 사용자들이라면 제일 먼저 애저 기기에 저장된 비밀번호 환경설정 파일들을 리셋해본 경험이 있는지 확인하고, 그렇다면 이 파일들을 삭제하는 것을 권고한다”고 설명한다. “애저의 비밀번호 리셋 기능을 사용해본 적이 있다면 침해되었을 것이라고 생각하고 그에 맞는 보안 조치를 취하는 게 안전합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
