널리 사용되는 인증 프로토콜을 공략하는 방법 두 가지가 개발됐다. 해당 프로토콜의 온프레미스 버전에서 사용되던 것을 아주 약간 응용한 것이다. 클라우드에서나 온프레미스에서나 같은 공격이 통한다는 건 공격의 난이도를 올리지 못한다는 뜻이 된다.
[보안뉴스 문가용 기자] 마이크로소프트의 애저 기반 아이덴티티 및 접근 관리 서비스인 애저 AD 커버로스(Azure AD Kerberos)를 공략하는 기법이 공개됐다. 커버로스는 온프레미스 프로토콜 중 하나로, 대칭 키 암호화 기술을 기반으로 사용자와 장비를 인증하는 데 널리 사용되고 있다. 요즘 크게 유행하고 있는 싱글사인온(SSO)의 기반이 되기도 하며, 수많은 기업들이 커버로스를 인증 표준 프로토콜로 도입하고 있기도 하다. 그렇기 때문에 공격자들의 활발한 연구 대상이 된다.
[이미지 = utoimage]
온프레미스 환경에서 공격자들이 흔히 사용하는 아이덴티티 관련 공격 기법 중에 ‘패스 더 티켓(Pass the Ticket)’과 ‘실버 티켓(Silver Ticket)’이 존재한다. ‘패스 더 티켓’은 훔친 크리덴셜을 사용해 인증 과정을 통과하도록 해 주는 기법이고, ‘실버 티켓’은 공격자들이 자신들만의 크리덴셜을 생성하도록 해 주는 기법이다.
둘 중 어떤 방법을 쓰든 결국 피해자 기업의 서비스 인증 체제를 통과할 수 있게 된다. “커버로스라는 인증 프로토콜이 클라우드 환경에 적용된다고 하더라도 이 두 가지 공격 기법은 어느 정도 통합니다.” 보안 업체 실버포트(Silverfort)의 설명이다. 참고로 실버포트는 위 두 가지 공격 기법이 클라우드 환경에서 벌어졌을 때 ‘바운스 더 티켓(Bounce the Ticket)’과 ‘실버아이오다이드(Silver Iodide)’라고 부른다.
“온프레미스의 공격 전략과 기술이 클라우드 환경에서도 어느 정도 통한다는 건, 보안 인프라를 클라우드로 옮긴다고 하더라도 공격자들에게는 큰 걱정거리가 되지 않는다는 뜻”이라고 실버포트는 설명한다. “애저 AD 커버로스는 기존 커버로스 프로토콜과 달리 아직 한창 도입이 이뤄지는 중입니다. 그것도 ‘시작 단계’에 불과하죠. 그래서 지금 여러 공격 기법이 발견된다 하더라도 큰 위협이 되지는 않습니다. 다만 MS의 서비스는 보통 크게 유행하죠. 애저 AD 커버로스도 마찬가지일 겁니다. 보다 많은 사람들이 사용하기 시작한다면 온프레미스 공략법이 클라우드 공략법으로도 재활용 가능하다는 현상은 큰 문제가 될 가능성이 높습니다.”
MS가 커버로스의 기능을 애저 액티브 디렉토리(Azure Active Directory)에 추가한 건 작년 8월의 일이다. 꽤나 새로운 서비스라고 볼 수 있다. 실버포트는 “아직 새 시스템이라 공격자들의 움직임이 눈에 띄지 않는 거지, 곧 상황은 달라질 것”이라고 내다보고 있다. “원래 아이덴티티와 접근 관리 시스템은 공격자들이 자주 노리던 지점이었습니다. MS의 AD 역시 마찬가지입니다. 그런 두 가지 요소가 애저 AD 커버로스라는 서비스 아래 만난 겁니다. 공격자들이 얼마나 신나게 연구하고 있을 지 안 봐도 뻔합니다.”
바운싱 티켓과 실버 티켓
‘바운스 더 티켓’ 공격은 어떻게 진행될까?
1) 공격자가 한 사용자의 시스템에 침투해 들어간다.
2) 침투한 시스템의 메모리에서 커버로스 비밀 키를 훔친다.
3) 훔친 비밀 키를 활용해 클라우드 워크로드에 접속한다.
애저 AD 커버로스에 의해 보호 받고 있는 클라우드 워크로드라면 이런 공격에 손쉽게 뚫릴 수 있다고 실버포트는 강조했다.
‘실버아이오다이드(Silver Iodide)’ 공격은 어떻게 진행될까?
1) 공격자가 한 사용자의 애저 AD 계정에 접속하는 데 성공한다.
2) 1)번을 발판 삼아 AD와 연결된 다른 서비스들(예 : 애저 파일즈)에 접속한다.
3) 1)과 2) 사이에 보안 취약점을 찾아 익스플로잇 하는 과정이 있다.
실버포트는 안전 상의 이유로 3)번 과정을 구체적으로 설명하지 않았다. 다만 다른 클라우드 서비스들에도 적용이 될 만한 성격의 취약점과 익스플로잇 공격이라고 한다.
한 동안 패치 없을 듯
실버포트는 이러한 내용을 MS에 먼저 제보했다. 하지만 MS는 “당분간 패치 계획이 없다”고 답변을 보내왔다고 한다. “전통적인 의미에서 말하는 취약점이 아니”기 때문이란다. 즉, 공격 가능성이 존재한다는 건 인정하지만 굳이 이 두 가지 특성을 취약점으로 분류하기 어렵다는 것이다.
“일반적인 취약점 익스플로잇 공격이 아닙니다. 게다가 공격을 성공시키려면 공격자가 이미 특정 시스템에 침투하고 권한을 상승시키는 것까지 해내야 합니다. 그런 후에 권한도 상승시켜야 하고요. 전제 조건이 너무나 많이 붙습니다.” MS의 설명이다. “비밀 키가 어떤 식으로 활용되고 있는지를 주기적으로 모니터링하고, 크리덴셜 탈취를 막아주는 소프트웨어를 설치하는 것이 안전합니다.”
실버포트 측은 패치에 난색을 표하는 MS의 입장을 어느 정도 이해한다고 말한다. “저희가 발굴한 공격 시나리오를 막으려면 간단한 소프트웨어 패치가 아니라 아예 커버로스 프로토콜을 처음부터 다시 설계해야 합니다. 일반적인 소프트웨어 취약점이 아니라고 설명을 하는 게 무리가 아니라는 것이죠. 게다가 이미 커버로스를 사용하고 있는 오래된 애플리케이션들과, 그런 애플리케이션들을 사용하는 사람/단체들의 안전도 고려해야 합니다.”
그렇다면 이런 취약점이 있다는 걸 알고도 커버로스를 있는 그대로 계속 사용해야 할까? “애저 접근 제어(Azure Access Control)에 적용되는 모든 변경 사항들을 꼼꼼하게 점검하고, 애저 AD와 관련된 모든 권한 허용 항목들도 다시 한 번 확인하여 재조정하는 게 좋습니다. 클라우드 크리덴셜을 저장하고 있는 시스템들을 최소화 하는 것도 중요한 습관입니다. 이렇게 하면 공격이 한층 더 어려워집니다.”
3줄 요약
1. MS 애저 AD 커버로스라는 클라우드 인증 프로토콜에서 두 가지 공략법이 발견됨.
2. 각각 ‘바운스 더 티켓’과 ‘실버아이오다이드’라는 이름이 붙음.
3. 온프레미스에서 통했던 공격이 클라우드에서도 통하니 문제.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트의 애저 기반 아이덴티티 및 접근 관리 서비스인 애저 AD 커버로스(Azure AD Kerberos)를 공략하는 기법이 공개됐다. 커버로스는 온프레미스 프로토콜 중 하나로, 대칭 키 암호화 기술을 기반으로 사용자와 장비를 인증하는 데 널리 사용되고 있다. 요즘 크게 유행하고 있는 싱글사인온(SSO)의 기반이 되기도 하며, 수많은 기업들이 커버로스를 인증 표준 프로토콜로 도입하고 있기도 하다. 그렇기 때문에 공격자들의 활발한 연구 대상이 된다.
[이미지 = utoimage]
온프레미스 환경에서 공격자들이 흔히 사용하는 아이덴티티 관련 공격 기법 중에 ‘패스 더 티켓(Pass the Ticket)’과 ‘실버 티켓(Silver Ticket)’이 존재한다. ‘패스 더 티켓’은 훔친 크리덴셜을 사용해 인증 과정을 통과하도록 해 주는 기법이고, ‘실버 티켓’은 공격자들이 자신들만의 크리덴셜을 생성하도록 해 주는 기법이다.
둘 중 어떤 방법을 쓰든 결국 피해자 기업의 서비스 인증 체제를 통과할 수 있게 된다. “커버로스라는 인증 프로토콜이 클라우드 환경에 적용된다고 하더라도 이 두 가지 공격 기법은 어느 정도 통합니다.” 보안 업체 실버포트(Silverfort)의 설명이다. 참고로 실버포트는 위 두 가지 공격 기법이 클라우드 환경에서 벌어졌을 때 ‘바운스 더 티켓(Bounce the Ticket)’과 ‘실버아이오다이드(Silver Iodide)’라고 부른다.
“온프레미스의 공격 전략과 기술이 클라우드 환경에서도 어느 정도 통한다는 건, 보안 인프라를 클라우드로 옮긴다고 하더라도 공격자들에게는 큰 걱정거리가 되지 않는다는 뜻”이라고 실버포트는 설명한다. “애저 AD 커버로스는 기존 커버로스 프로토콜과 달리 아직 한창 도입이 이뤄지는 중입니다. 그것도 ‘시작 단계’에 불과하죠. 그래서 지금 여러 공격 기법이 발견된다 하더라도 큰 위협이 되지는 않습니다. 다만 MS의 서비스는 보통 크게 유행하죠. 애저 AD 커버로스도 마찬가지일 겁니다. 보다 많은 사람들이 사용하기 시작한다면 온프레미스 공략법이 클라우드 공략법으로도 재활용 가능하다는 현상은 큰 문제가 될 가능성이 높습니다.”
MS가 커버로스의 기능을 애저 액티브 디렉토리(Azure Active Directory)에 추가한 건 작년 8월의 일이다. 꽤나 새로운 서비스라고 볼 수 있다. 실버포트는 “아직 새 시스템이라 공격자들의 움직임이 눈에 띄지 않는 거지, 곧 상황은 달라질 것”이라고 내다보고 있다. “원래 아이덴티티와 접근 관리 시스템은 공격자들이 자주 노리던 지점이었습니다. MS의 AD 역시 마찬가지입니다. 그런 두 가지 요소가 애저 AD 커버로스라는 서비스 아래 만난 겁니다. 공격자들이 얼마나 신나게 연구하고 있을 지 안 봐도 뻔합니다.”
바운싱 티켓과 실버 티켓
‘바운스 더 티켓’ 공격은 어떻게 진행될까?
1) 공격자가 한 사용자의 시스템에 침투해 들어간다.
2) 침투한 시스템의 메모리에서 커버로스 비밀 키를 훔친다.
3) 훔친 비밀 키를 활용해 클라우드 워크로드에 접속한다.
애저 AD 커버로스에 의해 보호 받고 있는 클라우드 워크로드라면 이런 공격에 손쉽게 뚫릴 수 있다고 실버포트는 강조했다.
‘실버아이오다이드(Silver Iodide)’ 공격은 어떻게 진행될까?
1) 공격자가 한 사용자의 애저 AD 계정에 접속하는 데 성공한다.
2) 1)번을 발판 삼아 AD와 연결된 다른 서비스들(예 : 애저 파일즈)에 접속한다.
3) 1)과 2) 사이에 보안 취약점을 찾아 익스플로잇 하는 과정이 있다.
실버포트는 안전 상의 이유로 3)번 과정을 구체적으로 설명하지 않았다. 다만 다른 클라우드 서비스들에도 적용이 될 만한 성격의 취약점과 익스플로잇 공격이라고 한다.
한 동안 패치 없을 듯
실버포트는 이러한 내용을 MS에 먼저 제보했다. 하지만 MS는 “당분간 패치 계획이 없다”고 답변을 보내왔다고 한다. “전통적인 의미에서 말하는 취약점이 아니”기 때문이란다. 즉, 공격 가능성이 존재한다는 건 인정하지만 굳이 이 두 가지 특성을 취약점으로 분류하기 어렵다는 것이다.
“일반적인 취약점 익스플로잇 공격이 아닙니다. 게다가 공격을 성공시키려면 공격자가 이미 특정 시스템에 침투하고 권한을 상승시키는 것까지 해내야 합니다. 그런 후에 권한도 상승시켜야 하고요. 전제 조건이 너무나 많이 붙습니다.” MS의 설명이다. “비밀 키가 어떤 식으로 활용되고 있는지를 주기적으로 모니터링하고, 크리덴셜 탈취를 막아주는 소프트웨어를 설치하는 것이 안전합니다.”
실버포트 측은 패치에 난색을 표하는 MS의 입장을 어느 정도 이해한다고 말한다. “저희가 발굴한 공격 시나리오를 막으려면 간단한 소프트웨어 패치가 아니라 아예 커버로스 프로토콜을 처음부터 다시 설계해야 합니다. 일반적인 소프트웨어 취약점이 아니라고 설명을 하는 게 무리가 아니라는 것이죠. 게다가 이미 커버로스를 사용하고 있는 오래된 애플리케이션들과, 그런 애플리케이션들을 사용하는 사람/단체들의 안전도 고려해야 합니다.”
그렇다면 이런 취약점이 있다는 걸 알고도 커버로스를 있는 그대로 계속 사용해야 할까? “애저 접근 제어(Azure Access Control)에 적용되는 모든 변경 사항들을 꼼꼼하게 점검하고, 애저 AD와 관련된 모든 권한 허용 항목들도 다시 한 번 확인하여 재조정하는 게 좋습니다. 클라우드 크리덴셜을 저장하고 있는 시스템들을 최소화 하는 것도 중요한 습관입니다. 이렇게 하면 공격이 한층 더 어려워집니다.”
3줄 요약
1. MS 애저 AD 커버로스라는 클라우드 인증 프로토콜에서 두 가지 공략법이 발견됨.
2. 각각 ‘바운스 더 티켓’과 ‘실버아이오다이드’라는 이름이 붙음.
3. 온프레미스에서 통했던 공격이 클라우드에서도 통하니 문제.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
