2020.09.29

마이크로소프트 제로로그온 취약점에 대해 관리자가 알아야 할 것

Susan Bradley | CSO
마이크로소프트가 최근 마이크로소프트 넷로그온 원격 프로토콜(MS-NRPC)의 소프트웨어 문제를 수정하기 위한 패치(CVE-2020-1472)를 내놓았다.

네덜란드 보안업체 시큐라(Secura) 블로그에 따르면, 도메인 컨트롤러에 대한 네트워크 액세스 권한을 가진 공격자는 제로로그온(Zerologon)이라는 이 취약점을 악용해 모든 액티브 디렉터리(AD) ID 서비스를 침해할 수 있다. 공격자는 인증 정보 없이 도메인에 대한 액세스 권한만으로 네트워크에 대한 특권을 획득할 수 있다. 아직 하지 않았다면 최대한 신속하게 도메인 컨트롤러에 이 업데이트를 설치해야 한다.
 
ⓒ Getty Images Bank

넷로그온 원격 프로토콜은 윈도우 도메인 컨트롤러에서 사용할 수 있는 원격 프로시저 호출(Remote Procedure Call, RPC) 인터페이스로, 사용자가 NTLM 프로토콜 사용해 서버에 로그인하는 과정을 용이하게 하는 데 사용된다.

시큐라 백서에도 나오듯이, 공격자는 다양한 필드를 0으로 채운 넷로그온 메시지를 몇 개만 전송하면 AD에 저장된 도메인 컨트롤러의 컴퓨터 비밀번호를 변경할 수 있다. 그런 다음 이를 사용하여 도메인 관리자 인증 정보를 획득하고, 이후 원래의 DC 비밀번호를 복원할 수 있다. 이 공격이 미치는 영향은 막대하다. 기본적으로 로컬 네트워크의 어느 공격자든 (예를 들어 악성 내부자 또는 온프레미스 네트워크 포트에 디바이스를 연결한 누구나) 윈도우 도메인을 완전히 장악할 수 있다.

미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 이 취약점에 대한 익스플로잇 코드가 웹에 배포됐다고 경고했으며, 마이크로소프트는 이 공개 익스플로잇을 사용한 공격이 실제 이뤄지고 있음을 확인했다고 보고했다.

마이크로소프트가 CVE-2020-1472를 패치했지만, 특히 마이크로소프트 이외의 플랫폼과 접속하는 경우 완전한 보호를 위해서는 부가적인 조치가 필요하다. 도메인 컨트롤러에 8월 11일 또는 그 이후의 보안 업데이트를 설치했다면 현재로서는 더 할 일이 없지만 앞으로 해야 할 일이 있다. 지원되는 윈도우 디바이스만 포함된 네트워크라면 윈도우 디바이스에 패치를 설치하는 것으로 보호된다. 그러나 이 설정을 지원하지 않는 마이크로소프트 이외의 디바이스는 도메인을 공격에 노출시킨다. 마이크로소프트는 2021년 2월부터는 윈도우 이외의 디바이스에 있는 계정에 대해 보안 RPC 사용을 강제하게 된다.

마이크로소프트가 자체 문서에서 밝힌 바와 같이 2단계는 2021년 2월 9일 업데이트부터 시작된다. 이 업데이트 이후에는 레지스트리나 그룹 정책 설정과 무관하게 모든 윈도우 도메인 컨트롤러에서 강제 모드가 활성화된다. 조건을 충족하지 않는 모든 디바이스는 “도메인 컨트롤러: 취약한 넷로그온 보안 채널 연결 허용(Domain controller: Allow vulnerable Netlogon secure channel connections)” 그룹 정책에 추가되지 않는 한 도메인 컨트롤러에 의해 연결이 거부된다.


8월 넷로그온 패치 세부 정보

지난 8월에 나온 현재 1단계 릴리스는 다음을 대상으로 보안 RPC 사용을 강제한다.
 
  • 윈도우 기반 디바이스의 머신 계정
  • 신뢰 계정(Trust accounts)
  • 모든 윈도우 및 비 윈도우 DC

또한 1단계 릴리스에는 취약한 넷로그온 보안 채널 연결을 사용하는 디바이스 계정을 허용하는 새 그룹 정책이 포함된다. 이 정책을 사용하면 DC가 강제 모드로 실행 중이거나 강제 단계가 시작된 이후에도 허용된 디바이스의 연결이 거부되지 않는다.

새로운 FullSecureChannelProtection 레지스트리 키는 모든 머신 계정에 대해 DC 강제 모드를 활성화한다. 또한 DC 강제 모드에서 거부되거나 거부될 만한 계정에 대해 새 이벤트를 추가한다(강제 단계에서도 계속됨). 구체적인 이벤트 ID에 대한 설명은 후술한다. 

이 패치는 넷로그온 프로토콜을 변경해서 기본적으로 윈도우 디바이스를 보호하고 조건을 준수하지 않는 디바이스 발견 이벤트를 로깅하고 도메인에 조인한 모든 디바이스에 대해 명시적 예외와 함께 보호를 활성화하는 기능을 추가한다. 


패치 이후, 도메인 컨트롤러 이벤트 로그 점검

2020년 8월(또는 그 이후) 업데이트를 설치한 다음에는 도메인 컨트롤러의 이벤트 로그를 검토해서 시스템 이벤트 로그에 다음 이벤트가 있는지 확인한다.
 
  • 연결이 거부된 경우 로그 이벤트 ID 5827 및 5828
  • 연결이 “도메인 컨트롤러: 취약한 넷로그온 보안 채널 연결 허용” 그룹 정책에 의해 허용된 경우 로그 이벤트 ID 5830 및 5831
  • 취약한 넷로그온 보안 채널 연결이 허용될 때마다 로그 이벤트 ID 5829 

DC 강제 모드를 구성하기 전에, 또는 2021년 2월 9일 강제 단계가 시작되기 전에 이런 이벤트를 처리해야 한다. 스크립트를 사용해 이벤트 로그에서 영향을 검토할 수 있다. 이벤트 로그를 .evtx 형식으로 내보낸다.

도메인 컨트롤러에 업데이트를 설치한 후 이벤트 로그를 검토해 안전하게 연결되지 않은 디바이스나 연결을 가리키는 넷로그온 이벤트를 찾는다. 로그를 검토해서 업데이트가 강제 모드로 진입할 때를 대비한다.


지금부터 2월 넷로그온 패치 대비

강제 시기를 마냥 기다릴 것이 아니라, 도메인 컨트롤러의 그룹 정책을 지금 변경해서 넷로그온 프로토콜의 변화로 인한 추가 영향이 있는지 여부를 테스트하고 확인해야 한다.

보안 채널 데이터의 암호화 및 서명(상시)에 관한 설정은 2021년 2월부터 활성화 및 강제된다. 현재 이 설정은 활성화되어 있지 않다.
 
ⓒ IDG

또는 FullSecureChannelProtection 레지스트리 키를 활성화해서 모든 머신 계정에 대해 DC 강제를 활성화할 수 있다(강제 단계에서는 DC가 DC 강제 모드로 업데이트된다).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\FullSecureChannelProtection
REG_DWORD


값을 “1”로 설정하면 강제 모드가 활성화되고 “0”으로 설정하면 도메인 컨트롤러가 윈도우 이외의 디바이스의 취약한 넷로그온 보안 채널 연결을 허용한다. 이 옵션은 강제 단계 릴리스부터 폐기된다.

8월 업데이트는 패치된 도메인 컨트롤러에 보안 RPC 통신 정책의 예외를 허용하는 그룹 정책을 추가한다. 2월 강제 이후 조건 미충족 시스템이 통신하지 못하는 경우가 발생한다면 위험을 감수하고 해당 통신을 허용하거나 벤더와 협력해서 업그레이드로 문제를 수정하는 방법이 있다. 지금부터 2월 사이의 시간을 활용해 조직에 미칠 영향을 판단해야 한다.

“도메인 컨트롤러: 취약한 넷로그온 보안 채널 연결 허용” 그룹 정책에 이러한 예외를 추가하고, 도메인 컨트롤러의 조직 단위(OU)에 추가한다. 그룹 정책에는 예외로 처리해야 하는 계정의 보안 설명자 목록이 있어야 한다.
 
ⓒ IDG

이 정책은 윈도우 서버 2008 R2부터 지원된다. 보안 설명자는 sc sdset <ServiceName> <ServiceSecurityDescriptor> 명령을 입력하면 확인할 수 있다.

단순히 지금 패치하기만 하고 강제의 다음 단계를 취하지 않을 경우, 패치된 시스템에서 모든 개념 증명 익스플로잇이 작동하지 않게 된다. 남은 위험은 보안 MS-NRPC가 강제되지 않는 서드파티 디바이스에서 발생한다. 공격자는 AD에 저장된 이러한 디바이스의 컴퓨터 비밀번호를 여전히 재설정할 수 있으며, 이 경우 도메인에서 사실상 해당 디바이스의 연결을 해제해 서비스를 거부할 수 있다. 이렇게 되면 CVE-2019-1424와 비슷한, 공격자가 특정 디바이스에 대한 로컬 관리자 액세스 권한을 획득할 수 있는 중간자(Man-in-the-Middle, MitM) 공격도 가능해진다.

지금 무엇을 해야 하는가? 도메인 컨트롤러에 8월 업데이트를 설치하는 것이다. 그런 다음 이벤트 로그에서 2월에 문제가 발생할 소지가 있는 레거시 시스템의 징후를 검토한다. 2월의 의무적인 적용으로 인해 예상치 못한 영향을 받지 않도록 지금부터 조사를 시작해야 한다. editor@itworld.co.kr



2020.09.29

마이크로소프트 제로로그온 취약점에 대해 관리자가 알아야 할 것

Susan Bradley | CSO
마이크로소프트가 최근 마이크로소프트 넷로그온 원격 프로토콜(MS-NRPC)의 소프트웨어 문제를 수정하기 위한 패치(CVE-2020-1472)를 내놓았다.

네덜란드 보안업체 시큐라(Secura) 블로그에 따르면, 도메인 컨트롤러에 대한 네트워크 액세스 권한을 가진 공격자는 제로로그온(Zerologon)이라는 이 취약점을 악용해 모든 액티브 디렉터리(AD) ID 서비스를 침해할 수 있다. 공격자는 인증 정보 없이 도메인에 대한 액세스 권한만으로 네트워크에 대한 특권을 획득할 수 있다. 아직 하지 않았다면 최대한 신속하게 도메인 컨트롤러에 이 업데이트를 설치해야 한다.
 
ⓒ Getty Images Bank

넷로그온 원격 프로토콜은 윈도우 도메인 컨트롤러에서 사용할 수 있는 원격 프로시저 호출(Remote Procedure Call, RPC) 인터페이스로, 사용자가 NTLM 프로토콜 사용해 서버에 로그인하는 과정을 용이하게 하는 데 사용된다.

시큐라 백서에도 나오듯이, 공격자는 다양한 필드를 0으로 채운 넷로그온 메시지를 몇 개만 전송하면 AD에 저장된 도메인 컨트롤러의 컴퓨터 비밀번호를 변경할 수 있다. 그런 다음 이를 사용하여 도메인 관리자 인증 정보를 획득하고, 이후 원래의 DC 비밀번호를 복원할 수 있다. 이 공격이 미치는 영향은 막대하다. 기본적으로 로컬 네트워크의 어느 공격자든 (예를 들어 악성 내부자 또는 온프레미스 네트워크 포트에 디바이스를 연결한 누구나) 윈도우 도메인을 완전히 장악할 수 있다.

미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 이 취약점에 대한 익스플로잇 코드가 웹에 배포됐다고 경고했으며, 마이크로소프트는 이 공개 익스플로잇을 사용한 공격이 실제 이뤄지고 있음을 확인했다고 보고했다.

마이크로소프트가 CVE-2020-1472를 패치했지만, 특히 마이크로소프트 이외의 플랫폼과 접속하는 경우 완전한 보호를 위해서는 부가적인 조치가 필요하다. 도메인 컨트롤러에 8월 11일 또는 그 이후의 보안 업데이트를 설치했다면 현재로서는 더 할 일이 없지만 앞으로 해야 할 일이 있다. 지원되는 윈도우 디바이스만 포함된 네트워크라면 윈도우 디바이스에 패치를 설치하는 것으로 보호된다. 그러나 이 설정을 지원하지 않는 마이크로소프트 이외의 디바이스는 도메인을 공격에 노출시킨다. 마이크로소프트는 2021년 2월부터는 윈도우 이외의 디바이스에 있는 계정에 대해 보안 RPC 사용을 강제하게 된다.

마이크로소프트가 자체 문서에서 밝힌 바와 같이 2단계는 2021년 2월 9일 업데이트부터 시작된다. 이 업데이트 이후에는 레지스트리나 그룹 정책 설정과 무관하게 모든 윈도우 도메인 컨트롤러에서 강제 모드가 활성화된다. 조건을 충족하지 않는 모든 디바이스는 “도메인 컨트롤러: 취약한 넷로그온 보안 채널 연결 허용(Domain controller: Allow vulnerable Netlogon secure channel connections)” 그룹 정책에 추가되지 않는 한 도메인 컨트롤러에 의해 연결이 거부된다.


8월 넷로그온 패치 세부 정보

지난 8월에 나온 현재 1단계 릴리스는 다음을 대상으로 보안 RPC 사용을 강제한다.
 
  • 윈도우 기반 디바이스의 머신 계정
  • 신뢰 계정(Trust accounts)
  • 모든 윈도우 및 비 윈도우 DC

또한 1단계 릴리스에는 취약한 넷로그온 보안 채널 연결을 사용하는 디바이스 계정을 허용하는 새 그룹 정책이 포함된다. 이 정책을 사용하면 DC가 강제 모드로 실행 중이거나 강제 단계가 시작된 이후에도 허용된 디바이스의 연결이 거부되지 않는다.

새로운 FullSecureChannelProtection 레지스트리 키는 모든 머신 계정에 대해 DC 강제 모드를 활성화한다. 또한 DC 강제 모드에서 거부되거나 거부될 만한 계정에 대해 새 이벤트를 추가한다(강제 단계에서도 계속됨). 구체적인 이벤트 ID에 대한 설명은 후술한다. 

이 패치는 넷로그온 프로토콜을 변경해서 기본적으로 윈도우 디바이스를 보호하고 조건을 준수하지 않는 디바이스 발견 이벤트를 로깅하고 도메인에 조인한 모든 디바이스에 대해 명시적 예외와 함께 보호를 활성화하는 기능을 추가한다. 


패치 이후, 도메인 컨트롤러 이벤트 로그 점검

2020년 8월(또는 그 이후) 업데이트를 설치한 다음에는 도메인 컨트롤러의 이벤트 로그를 검토해서 시스템 이벤트 로그에 다음 이벤트가 있는지 확인한다.
 
  • 연결이 거부된 경우 로그 이벤트 ID 5827 및 5828
  • 연결이 “도메인 컨트롤러: 취약한 넷로그온 보안 채널 연결 허용” 그룹 정책에 의해 허용된 경우 로그 이벤트 ID 5830 및 5831
  • 취약한 넷로그온 보안 채널 연결이 허용될 때마다 로그 이벤트 ID 5829 

DC 강제 모드를 구성하기 전에, 또는 2021년 2월 9일 강제 단계가 시작되기 전에 이런 이벤트를 처리해야 한다. 스크립트를 사용해 이벤트 로그에서 영향을 검토할 수 있다. 이벤트 로그를 .evtx 형식으로 내보낸다.

도메인 컨트롤러에 업데이트를 설치한 후 이벤트 로그를 검토해 안전하게 연결되지 않은 디바이스나 연결을 가리키는 넷로그온 이벤트를 찾는다. 로그를 검토해서 업데이트가 강제 모드로 진입할 때를 대비한다.


지금부터 2월 넷로그온 패치 대비

강제 시기를 마냥 기다릴 것이 아니라, 도메인 컨트롤러의 그룹 정책을 지금 변경해서 넷로그온 프로토콜의 변화로 인한 추가 영향이 있는지 여부를 테스트하고 확인해야 한다.

보안 채널 데이터의 암호화 및 서명(상시)에 관한 설정은 2021년 2월부터 활성화 및 강제된다. 현재 이 설정은 활성화되어 있지 않다.
 
ⓒ IDG

또는 FullSecureChannelProtection 레지스트리 키를 활성화해서 모든 머신 계정에 대해 DC 강제를 활성화할 수 있다(강제 단계에서는 DC가 DC 강제 모드로 업데이트된다).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\FullSecureChannelProtection
REG_DWORD


값을 “1”로 설정하면 강제 모드가 활성화되고 “0”으로 설정하면 도메인 컨트롤러가 윈도우 이외의 디바이스의 취약한 넷로그온 보안 채널 연결을 허용한다. 이 옵션은 강제 단계 릴리스부터 폐기된다.

8월 업데이트는 패치된 도메인 컨트롤러에 보안 RPC 통신 정책의 예외를 허용하는 그룹 정책을 추가한다. 2월 강제 이후 조건 미충족 시스템이 통신하지 못하는 경우가 발생한다면 위험을 감수하고 해당 통신을 허용하거나 벤더와 협력해서 업그레이드로 문제를 수정하는 방법이 있다. 지금부터 2월 사이의 시간을 활용해 조직에 미칠 영향을 판단해야 한다.

“도메인 컨트롤러: 취약한 넷로그온 보안 채널 연결 허용” 그룹 정책에 이러한 예외를 추가하고, 도메인 컨트롤러의 조직 단위(OU)에 추가한다. 그룹 정책에는 예외로 처리해야 하는 계정의 보안 설명자 목록이 있어야 한다.
 
ⓒ IDG

이 정책은 윈도우 서버 2008 R2부터 지원된다. 보안 설명자는 sc sdset <ServiceName> <ServiceSecurityDescriptor> 명령을 입력하면 확인할 수 있다.

단순히 지금 패치하기만 하고 강제의 다음 단계를 취하지 않을 경우, 패치된 시스템에서 모든 개념 증명 익스플로잇이 작동하지 않게 된다. 남은 위험은 보안 MS-NRPC가 강제되지 않는 서드파티 디바이스에서 발생한다. 공격자는 AD에 저장된 이러한 디바이스의 컴퓨터 비밀번호를 여전히 재설정할 수 있으며, 이 경우 도메인에서 사실상 해당 디바이스의 연결을 해제해 서비스를 거부할 수 있다. 이렇게 되면 CVE-2019-1424와 비슷한, 공격자가 특정 디바이스에 대한 로컬 관리자 액세스 권한을 획득할 수 있는 중간자(Man-in-the-Middle, MitM) 공격도 가능해진다.

지금 무엇을 해야 하는가? 도메인 컨트롤러에 8월 업데이트를 설치하는 것이다. 그런 다음 이벤트 로그에서 2월에 문제가 발생할 소지가 있는 레거시 시스템의 징후를 검토한다. 2월의 의무적인 적용으로 인해 예상치 못한 영향을 받지 않도록 지금부터 조사를 시작해야 한다. editor@itworld.co.kr

X