MS10-006, SMB 클라이언트 취약점으로 인한 원격코드실행 문제점
<순서>
1. 보안업데이트 무시·간과하고 있지는 않나요?
2. 오피스 취약점, 공격자는 PC 완전제어 가능
3. 파워포인트 취약점, 서버가 더 위험할 수 있어
4. 페인트 취약점, JPEG로 공격자 로컬사용자 권한 얻어
5. SMB 취약점, 서비스 거부도 유발 가능
6. 윈도우 셸 처리기 취약점, 사용자 컨텍스트 악용 가능
7. 액티브X 취약점, Kill 비트 설정해 해결
8. TCP/IP 취약점, IPv6 사용 모든 OS 위험에 노출돼
9. 하이퍼-V 취약점, 가상서버 악용 연결 PC들 서비스거부 유발
10. CSRSS 취약점, 필수 하위 시스템의 사용자 모드 권한 획득
11. SMB 취약점, SMB패킷 보내 PC 악용
12. DirectShow 취약점, 동영상(AVI) 파일 여는 순간 위험
13. Kerberos 취약점, 티켓 갱신 요청 받아들여지면 서비스거부 발생
14. 커널 취약점, 운영체제 핵심인 커널이 특정 예외 잘못 처리

MS10-006(긴급) 보안공지와 관련한 보안 업데이트는 MS 윈도우에서 발견돼 비공개적으로 보고된 취약점 2건을 해결한다. 이 취약점으로 인해 공격자가 특수하게 조작된 SMB(Server Message Block) 응답을 클라이언트가 시작한 SMB 요청에 보낼 경우 원격 코드 실행이 발생할 수 있다.
 


 
이 취약점은 SMB 클라이언트 풀 손상 취약점과 SMB 클라이언트 경쟁 조건 취약점 2건이 존재하며, 특히 풀 손상 취약점은 전체 심각도면에서 긴급을 요하는 만큼 이에 대한 보안업데이트를 설치해야 한다.

심각도 및 취약점-SMB 클라이언트 풀 손상 취약점(CVE-2010-0016)
MS SMB 프로토콜 SW가 특수하게 조작된 SMB 응답을 처리하는 방식에 인증되지 않은 원격 코드 실행 취약점이 존재한다. 이 취약점을 악용하려는 시도에는 인증이 필요하지 않으며 공격자는 특수하게 조작된 SMB 응답을 클라이언트가 시작한 SMB 요청으로 보내 취약점을 악용할 수 있으며. 이 취약점을 악용해 공격자는 영향을 받는 시스템을 완전히 제어할 수 있다.

물론 이 취약점을 악용하려는 공격자로부터 속수무책으로 당하는 것은 아니며, 취약점의 악용 심각도를 낮출 수 있는 설정이 있다. 이 취약점을 악용하려면 공격자는 사용자가 악의적인 SMB 서버에 SMB 연결을 시작하도록 유도해야 하는데, 이때 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이요하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있다. 인터넷과 연결되는 시스템의 경우에는 SMB 포트를 인터넷에서 차단해 필요한 포트만 최소한으로 열어 두는 것이 안전하다.

이 취약점을 악용하려는 대부분의 시도는 영향을 받는 시스템의 응답 중지 및 재시작으로 유발하기 위한 것인데, 영향을 받는 모든 운영 체제가 위험한 만큼 시만텍 보안연구소는 이에 대한 심각성을 지난 11일 밝힌 것이다.

심각도 및 취약점-SMB 클라이언트 경쟁 조건 취약점(CVE-2010-0017)
MS SMB 프로토콜 SW가 특수하게 조작된 SMB 패킷을 처리하는 방식에 인증되지 않은 원격 코드 실행 취약점이 존재한다. 윈도우 비스타 및 윈도우 서버 2008에서 이 취약점은 MS SMB 프로토콜 SW가 특수하게 조작된 SMB 협상 응답을 처리하는 방식으로 인해 권한 상승 취약점으로 나타날 수 있다. 즉 이 취약점을 악용에 성공한 공격자는 시스템 수준 권한으로 임의 코드를 실행할 수 있게 되는 것이다.

특히 이 취약점은 서비스 거부도 유발할 수 있는데, 이런 방식으로 취약점을 악용하려는 시도에는 인증이 필요하지 않으며 공격자는 특수하게 조작된 SMB 응답을 클라이언트가 시작한 SMB 요청으로 보내 취약점을 악용할 수 있다. 즉 이 취약점을 악용해 성공한 공격자는 PC가 다시 시작될 때까지 PC에서 응답을 중지하도록 만들 수 있게 되는 것이다. 물론 이 취약점 역시 영향을 받는 모든 운영 체제가 위험할 수 있다.

다만 인터넷 익스플로러를 통해 이 취약점은 악용될 수 없지만 이 문제는 브라우저의 유형에 관계없이 웹 거래를 통해 악용될 수는 있다.

한편 이와 관련한 보다 자세한 사항이나 보안업데이트는 MS 테크넷 홈페이지(www.microsoft.com/korea/technet/security/bulletin/ms10-006.mspx)에서 확인할 수 있다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>