Offcanvas

CSO / 보안 / 애플리케이션 / 통신|네트워크

MS가 패치하지 않은(또는 못한) 취약점 6가지

2021.08.13 Susan Bradley   |  CIO
모조리 패치를 완료했다. 이제 전적으로 안전하다! 그런데 과연 그럴까? 애석하게도 단정하기엔 이르다. 몇몇 마이크로소프트 관련 이슈는 패치가 등장하지 않을 수 있기 때문이다. 또 일부는 패치 할 수 없는 구성 문제이기도 하다. 

깃허브(GitHub)에서 크리스토프 팔타는 마이크로소프트에서 아직 패치하지 않았거나 패치 할 예정이 없는 보안 문제 또는 해결하려면 수동으로 조정해야 하는 문제를 담은 ‘해결되지 않을’ 문제 목록을 시작했다. 이 목록에 오른 문제들을 살펴본다.

스풀샘플
팔타의 설명에 따르면 ‘스풀샘플(SpoolSample)’은 MS-RPRN(프린트 시스템 원격 프로토콜) 기능을 악용하여 표적 A로 하여금 공격자가 선택한 목적지(표적 B)로 인증하게 만든다. 이 목적지는 NTLM 릴레이 툴(예: ntlmrelayx 또는 inveigh)을 실행하는 또 다른 호스트인 경우가 보통이다. 이를 통해 표적 A가 최종 표적인 표적 C로 릴레이 된다.

스풀샘플 공격은 2018년 더비콘(DerbyCon)에서 리 크리스텐센, 윌 슈로더, 맷 넬슨이 최초로 제시했으며 ‘의도하지 않은 액티브 디렉터리(AD) 신뢰의 위험’이라고 불렸다. 

션 멧캐프의 블로그에 지적된 바와 같이, 위임에 제한 없이 구성된 계정이 있고 컴퓨터에 프린트 스풀러(Print Spooler) 서비스가 실행 중인 경우 공격자는 그 컴퓨터의 인증 정보를 사용자로서 위임에 제한 없는 시스템으로 보내게 할 수 있다. 

비슷한 문제가 2020년 5월 블로그에 ‘프린트 스푸퍼(Print Spoofer)’로 소개되었고 최근 게시물에도 비슷한 프로세스를 이용한 워크스테이션 테이크오버에 대한 내용이 올라왔다. 모종의 프린트 스풀러 프로세스와 AD를 사용하는 기지의 공격 중에는 나온 지 몇 년 되었을 뿐만 아니라 최근 프린트 스풀러 취약점의 결과로 새롭게 관심 받고 있는 것이 많다는 점이 눈에 띌 것이다.

프티포탬 공격
프티포탬(PetitPotam) 공격은 전형적인 NTLM 릴레이 공격 수행에 사용된다. AD 인증서 서비스(ADCS)를 인증기관 웹 등록 또는 인증서 등록 웹 서비스와 함께 사용하는 경우 이 공격에 잠재적으로 취약하다. 마이크로소프트에서는 인증용 확장 보호(EPA) 또는 SMB 서명 기능을 설정할 것을 권장하고 있다.

마이크로소프트는 공격을 무산시키려면 이제 사라질 윈도우 NT LAN 관리자(NTLM)의 사용을 중단해야 한다는 안내문을 시스템 관리자들에게 발송했다. 그러나 문제는 내부에 있다. 사무실 내에서 NTLM이 핵심 애플리케이션에 여전히 사용되고 있는 것으로 나타날 수도 있기 때문이다. 적절한 완화 방법을 선택하는 데는 테스트 수행이 관건이다.

ADCS – ESC8
ADCS를 노리는 또 다른 공격은 NTLM 인증을 기본적으로 허용하고 릴레이 완화책을 보강하지 않는 웹 인터페이스로 시작한다. ADCS - ESC8라고 불린다.

스펙터옵스(SpecterOps)의 리 크리스텐센과 윌 슈로더는 이 공격의 가능성을 완전 분석하여 블랙햇(BlackHat)에서 발표할 예정이다. 현재의 공격은 공격자가 인증을 웹 인터페이스로 릴레이한 후 릴레이 된 계정의 이름으로 인증서를 요청하는 방식이다. 역시나 사용자 네트워크의 NTLM이 사용자 도메인 접수에 악용된다.

리모트포테이토0
그 다음의 잠재적인 공격은 사용자에서 도메인 관리자로의 권한 확대를 활용한다. 지적된 바와 같이 리모트포테이토0(RemotePotato0)는 DCOM 활성화 서비스를 악용하여 표적 머신에 현재 로그인 된 모든 사용자의 NTLM 인증을 촉발시킨다. 

권한 있는 사용자는 동일한 머신에 로그인하고 있어야 한다(예: 도메인 관리 사용자). 마이크로소프트에서는 이 문제를 해결하지 않을 것이며 취할 완화조치에 대한 결정은 사용자에게 달려 있다고 명시하고 있다.

프린트나이트메어
프린트나이트메어(PrintNightmare)는 7월 월간 업데이트 프로세스에서 부분적으로 해결되었으나 여전히 해결해야 할 프린트 스풀러 서비스 관련 문제에서 알 수 있듯이 아직 우려를 일으키고 있다.

이 경우 공격자는 컴퓨터나 네트워크의 통제권을 더 많이 차지하도록 프린트 스풀러 서비스를 이용할 수 있는 악성 DLL을 도입할 수 있다. 악성 DLL은 권한 확대는 물론 원격 코드 실행에도 사용될 수 있다.

이 프린트 스풀러 취약점을 비롯한 향후 다른 프린트 스풀러 취약점을 제대로 완화하는 방법은 프린트 스풀러 서비스를 사용 해제하는 것 뿐이지만 인쇄가 필요한 대다수의 사람들에게는 합당하지 않다. 보안 연구원 벤자민 델피는 인터넷으로 접근 가능하고 윈도우 시스템 권한을 설치하는 프린트 서버를 최근에 만들었다.

이 밖에도 프린트 스풀러 기반 공격을 차단하는 방법은 여러 가지가 있다. 발신 포트 135(RPC 엔드포인트 매퍼)와 139/445(SMB)를 차단함으로써 경계에서 RPC&SMB 트래픽을 차단할 것이 권장된다. 아울러, 그룹 정책을 사용해 서버를 제한하거나 ‘패키지 포인트 및 프린트–승인 서버’로 서버를 완전히 차단한다.

시리어스샘
마지막은 시리어스샘(SeriousSAM)이라는 문제이다. 1809 이후의 다양한 윈도우 10 버전에 설정되고 있는 부적절한 허가로 인한 이 취약점은 마이크로소프트에서 해결할 것으로 예상된다. 

시리어스샘이 발견된 것은 한 연구원이 윈도우 11 상의 잘못된 설정을 찾아낸 후 윈도우 10 상에서도 부적절하게 설정되었다는 것을 알아차렸기 때문이다. 시리어스샘을 통해 사용자(그리고 공격자)는 SAM 파일에 저장된 비밀번호에 접근할 수 있다. 

컴퓨터가 사용 중일 때는 SAM 파일을 읽을 수 없지만, 컴퓨터의 VSS 복사본이 만들어지면 비밀번호가 섀도 파일 복사본에 노출된다. 사용자에게 어느 정도 영향을 미치는 지 해당 네트워크를 검토하여 확인해야 한다. 일부 컴퓨터 배치본의 경우에는 거의 영향을 받지 않은 것으로 나타났다. 

이러한 문제들을 통해 알 수 있는 것은 보안 팀이 패치 되지 않은 문제를 인식하고 있는 것이 중요하다는 점이다. 보안 팀이 최신 정보를 따라잡으려면 트위터 등의 포럼에서 진행되는 관련 SNS 토론을 계속 지켜보는 것이 좋다. 핵심은 패칭만으로는 네트워크가 보호되지 못한다는 점이다. 네트워크 내부에서 일어나고 있는 일을 인지하는 것만큼 네트워크 외부에서 일어나는 일도 인지하고 있어야 한다. ciokr@idg.co.kr

 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.