8월에 패치까지 나온 치명적 취약점...공격자가 관리자 권한 가지고 DC에 접근 가능
넷로그온이라는 원격 프로토콜에서의 AES 알고리즘의 구현이 문제...긴급 패치 필요
[보안뉴스 문가용 기자] 마이크로소프트의 윈도에서 발견된 위험한 취약점의 개념증명 코드가 공개됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 관리자의 권한을 얻게 되며, 이를 통해 액티브 디렉토리 도메인 제어기에 접근할 수 있게 된다고 한다. 따라서 시급한 패치가 요구되는 상황이다.
[이미지 = utoimage]
이 취약점은 CVE-2020-1472로, 권한 상승 취약점으로 분류되었고, 제로로그온(Zerologon)이라는 이름이 붙어 있다. CVSS를 기준으로 10점 만점에 10점을 받았을 정도로 위험하며, 8월 정기 패치를 통해 해결된 바 있다. 그리고 한 달이 조금 넘은 시점에 여러 개의 개념증명 코드들이 깃허브를 통해 공개되기 시작했다. 최근까지 총 네 개가 등장했다고 보안 업체 시큐라(Secura)가 발표했다. 시큐라는 제로로그온의 최초 제보자이기도 하다.
시큐라는 백서를 통해 이러한 상황 및 취약점 기술 세부 사항을 발표하며 “엄청나게 파급력이 큰 공격으로 이어질 수 있는 취약점”이라고 경고했다. “로컬 네트워크에 있는 공격자(악성 내부자나 온프레미스 네트워크 어딘가에 꽂아둔 장비 등)로 하여금 윈도 도메인을 완전히 장악하게 만들어주는 취약점입니다. 심지어 사용자 크리덴셜 하나 없이 공격을 성공시키는 게 가능합니다.”
이 취약점의 근원은 넷로그온(Netlogon)이라는 원격 프로토콜에 뿌리를 두고 있다. 이는 윈도 도메인 제어기에 있는 프로토콜로, 사용자와 기계 사이의 인증과 관련된 작업을 수행하는 데에 필요하다. 넷로그온은 AES-CFB8 암호화 기술을 활용하는데, 이 기술은 평문 바이트 하나당 무작위적인 초기화 벡터(initialization vector, IV) 하나를 갖도록 되어 있다. 이 때문에 비밀번호를 추측하는 공격이 차단된다. 그러나 넷로그온의 ComputeNetlogonCredential이라는 함수가 이 IV를 고정된 16비트로 설정한다. 무작위성이 사라지게 되고, 따라서 공격자가 암호화된 텍스트를 제어할 수 있게 된다.
이러한 취약점을 익스플로잇 하려면 공격자는 여러 개의 넷로그온 메시지들을 전송하되, 여러 필드 값을 0으로 채워 넣으면 된다. 그러면 인증 수단들을 우회하고, 액티브 디렉토리에 저장된 도메인 제어기 비밀번호에 접근할 수 있게 된다. “결국 AES 암호화 기술을 비정상적으로 활용한 것이 문제의 근원이라고 볼 수 있습니다. 이 때문에 암호화 기술이 없는 것처럼 되어 버리는 것이죠.”
다만 이 공격을 실시하려면 공격 표적과 공격자가 같은 로컬 네트워크 상에 있어야 한다. 즉, 이 취약점을 통해 최초 침투를 이뤄낼 수 있는 건 아니라는 뜻이다. 다른 방법을 통해 침투를 이뤄낸 후에야 감행할 수 있는 공격이라는 것. “그럼에도 취약점이 위험하다는 사실은 변하지 않는다”는 게 시큐라의 입장이다. “침투 후 익스플로잇에 성공한다면 공격자가 네트워크 상에 있는 아무 기계로 스스로를 위장시킬 수 있거든요. 그리고 도메인 제어기의 인증을 받는 거죠. 여기서부터 더 많은 종류의 공격이 파생할 수 있습니다.”
그 ‘더 많은 종류의 공격’에는 랜섬웨어 공격도 포함된다. “도메인 제어기를 장악한 공격자라면 조직 전체에 랜섬웨어를 뿌리고, 시스템 복구가 진행되더라도 재차 감염시키는 등의 악성 행위를 할 수 있게 됩니다. 심지어 네트워크 상에 백업을 마련해두는 조직이라면 이러한 유형의 랜섬웨어 공격자에게 크게 당하게 될 겁니다.” 시큐라의 설명이다.
게다가 이런 ‘가능성’들이 이제부터는 ‘실제 위험’이 된다는 게 문제다. 깃허브에 네 개의 개념증명용 코드가 나타났기 때문이다. 이에 보안 전문가들과 미국 정부 기관들은 윈도 관리자들에게 신속히 8월 패치를 적용하라고 권고하기 시작했다. MS는 2020년 8월 11일자 패치를 통해 윈도를 업데이트 했고, 2021년 1사분기 내에 두 번째 관련 패치를 배포할 계획을 수립했다. 이 두 번째 패치를 통해 패치의 강제적 적용이 이뤄질 전망이다.
3줄 요약
1. 윈도 넷로그온에서 발견된 제로로그온 취약점, 10점 만점에 10점.
2. 8월에 패치되고 한 달 지난 시점, 깃허브에 각종 개념증명 코드 나타나기 시작.
3. 이제 패치를 미루면 진짜로 위험. 윈도 업데이트 하라는 권고 쏟아지기 시작.
[국제부 문가용 기자(globoan@boannews.com)]
넷로그온이라는 원격 프로토콜에서의 AES 알고리즘의 구현이 문제...긴급 패치 필요
[보안뉴스 문가용 기자] 마이크로소프트의 윈도에서 발견된 위험한 취약점의 개념증명 코드가 공개됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 관리자의 권한을 얻게 되며, 이를 통해 액티브 디렉토리 도메인 제어기에 접근할 수 있게 된다고 한다. 따라서 시급한 패치가 요구되는 상황이다.
[이미지 = utoimage]
이 취약점은 CVE-2020-1472로, 권한 상승 취약점으로 분류되었고, 제로로그온(Zerologon)이라는 이름이 붙어 있다. CVSS를 기준으로 10점 만점에 10점을 받았을 정도로 위험하며, 8월 정기 패치를 통해 해결된 바 있다. 그리고 한 달이 조금 넘은 시점에 여러 개의 개념증명 코드들이 깃허브를 통해 공개되기 시작했다. 최근까지 총 네 개가 등장했다고 보안 업체 시큐라(Secura)가 발표했다. 시큐라는 제로로그온의 최초 제보자이기도 하다.
시큐라는 백서를 통해 이러한 상황 및 취약점 기술 세부 사항을 발표하며 “엄청나게 파급력이 큰 공격으로 이어질 수 있는 취약점”이라고 경고했다. “로컬 네트워크에 있는 공격자(악성 내부자나 온프레미스 네트워크 어딘가에 꽂아둔 장비 등)로 하여금 윈도 도메인을 완전히 장악하게 만들어주는 취약점입니다. 심지어 사용자 크리덴셜 하나 없이 공격을 성공시키는 게 가능합니다.”
이 취약점의 근원은 넷로그온(Netlogon)이라는 원격 프로토콜에 뿌리를 두고 있다. 이는 윈도 도메인 제어기에 있는 프로토콜로, 사용자와 기계 사이의 인증과 관련된 작업을 수행하는 데에 필요하다. 넷로그온은 AES-CFB8 암호화 기술을 활용하는데, 이 기술은 평문 바이트 하나당 무작위적인 초기화 벡터(initialization vector, IV) 하나를 갖도록 되어 있다. 이 때문에 비밀번호를 추측하는 공격이 차단된다. 그러나 넷로그온의 ComputeNetlogonCredential이라는 함수가 이 IV를 고정된 16비트로 설정한다. 무작위성이 사라지게 되고, 따라서 공격자가 암호화된 텍스트를 제어할 수 있게 된다.
이러한 취약점을 익스플로잇 하려면 공격자는 여러 개의 넷로그온 메시지들을 전송하되, 여러 필드 값을 0으로 채워 넣으면 된다. 그러면 인증 수단들을 우회하고, 액티브 디렉토리에 저장된 도메인 제어기 비밀번호에 접근할 수 있게 된다. “결국 AES 암호화 기술을 비정상적으로 활용한 것이 문제의 근원이라고 볼 수 있습니다. 이 때문에 암호화 기술이 없는 것처럼 되어 버리는 것이죠.”
다만 이 공격을 실시하려면 공격 표적과 공격자가 같은 로컬 네트워크 상에 있어야 한다. 즉, 이 취약점을 통해 최초 침투를 이뤄낼 수 있는 건 아니라는 뜻이다. 다른 방법을 통해 침투를 이뤄낸 후에야 감행할 수 있는 공격이라는 것. “그럼에도 취약점이 위험하다는 사실은 변하지 않는다”는 게 시큐라의 입장이다. “침투 후 익스플로잇에 성공한다면 공격자가 네트워크 상에 있는 아무 기계로 스스로를 위장시킬 수 있거든요. 그리고 도메인 제어기의 인증을 받는 거죠. 여기서부터 더 많은 종류의 공격이 파생할 수 있습니다.”
그 ‘더 많은 종류의 공격’에는 랜섬웨어 공격도 포함된다. “도메인 제어기를 장악한 공격자라면 조직 전체에 랜섬웨어를 뿌리고, 시스템 복구가 진행되더라도 재차 감염시키는 등의 악성 행위를 할 수 있게 됩니다. 심지어 네트워크 상에 백업을 마련해두는 조직이라면 이러한 유형의 랜섬웨어 공격자에게 크게 당하게 될 겁니다.” 시큐라의 설명이다.
게다가 이런 ‘가능성’들이 이제부터는 ‘실제 위험’이 된다는 게 문제다. 깃허브에 네 개의 개념증명용 코드가 나타났기 때문이다. 이에 보안 전문가들과 미국 정부 기관들은 윈도 관리자들에게 신속히 8월 패치를 적용하라고 권고하기 시작했다. MS는 2020년 8월 11일자 패치를 통해 윈도를 업데이트 했고, 2021년 1사분기 내에 두 번째 관련 패치를 배포할 계획을 수립했다. 이 두 번째 패치를 통해 패치의 강제적 적용이 이뤄질 전망이다.
3줄 요약
1. 윈도 넷로그온에서 발견된 제로로그온 취약점, 10점 만점에 10점.
2. 8월에 패치되고 한 달 지난 시점, 깃허브에 각종 개념증명 코드 나타나기 시작.
3. 이제 패치를 미루면 진짜로 위험. 윈도 업데이트 하라는 권고 쏟아지기 시작.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
