블로그ㅣAD 보안 업데이트에 관해 알아야 할 4가지

여기서 소개할 ‘액티브 디렉토리(Active Directory; AD)’ 업데이트는 권한 우회 및 승격 취약점을 해결한다. 

최근 마이크로소프트는 사용자의 조치가 필요한 몇 가지 업데이트를 추가로 릴리즈했다. 마이크로소프트 일본의 보안팀은 지난 2021년 11월에 공개된 몇 가지 업데이트를 문서화했으며, 이에 따르면 액티브 디렉토리(AD)를 보호하기 위해 추가적인 레지스트리 키를 설정하거나 조치를 취해야 한다. 
 

AD 권한 승격 취약점
첫 번째 패치는 공격자가 컴퓨터 계정 스푸핑을 통해 도메인 컨트롤러를 가장할 수 있는 보안 우회 취약점(CVE-2021-42278)을 해결한다. 이 업데이트에서는 사용자가 생성하거나 변경한 컴퓨터 계정의 sAMAccountName 및 UserAccountControl 속성에 관한 유효성 검사가 개선됐다. 이는 도메인 컨트롤러로 가장해서는 안 될 시스템 계정의 관리자 권한을 가지고 있지 않은 사용자를 검토한다. 업데이트 후 사용자 및 컴퓨터 계정에서 다음을 확인하라. 

ObjectClass=Computer (or subclass of computer) accounts must have UserAccountControl flags of UF_WORKSTATION_TRUST_ACCOUNT or UF_SERVER_TRUST_ACCOUNT
ObjectClass=User must have UAC flags of UF_NORMAL_ACCOUNT or UF_INTERDOMAIN_TRUST_ACCOUNT

다음으로 UserAccountControl에 UF_WORKSTATION_TRUST_ACCOUNT 플래그를 포함한 컴퓨터 계정의 sAMAccountName에 1개의 달러 기호가 있는지 확인한다. 그렇지 않다면 0x523 ERROR_INVALID_ACCOUNTNAME 오류 코드가 시스템 이벤트 로그에서 Directory-Services-SAM event ID 16991로 기록된다.

아울러 보안 계정 관리자가 비관리자로 하여금 ObjectClass 및 UserAccountControl 계정 유형 플래그가 일치하지 않는 도메인에서 AD 계정을 생성하지 못하도록 차단하는 경우 이벤트 로그에 이벤트 16990이 표시된다. 

UPN(User Principal Name) 및 SPN(User Principal Name) 고유성 검증
또 다른 권한 승격 보호는 CVE-2021-42282를 통해 제공된다. 이는 UPN 및 SPN 고유성 검증을 추가한다. 이 기능은 윈도우 8, 서버 2021로 백포팅됐다. SPN 별칭 고유성은 모든 버전의 윈도우에 새로 추가됐다. SPN 별칭 고유성 검증은 기본적으로 활성화돼 있다. 일련의 문자로 해석되는 dSHeuristics 속성의 21번째 문자를 변경하여 해당 검증을 끌 수 있다. dSHeuristics 속성은 기본적으로 활성화되지 않지만 CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local로 추가할 수 있다. 

AD 보안 우회 취약점
이 AD 업데이트(CVE-2021-42287)는 활성화돼 있진 않지만 코드가 설치돼 있으며, 해당 업데이트와 관련해 도메인이 준비돼 있는지 확인하는 것은 사용자의 몫이다. 이는 공격자가 도메인 컨트롤러로 위장할 수 있는 보안 우회 취약점을 해결하며, 케베로스 PAC(Kerberos Privilege Attribute Certificate)에 영향을 미친다. 

업데이트 문서는 “도메인 계정이 손상된 경우 KDC(Key Distribution Center)가 손상된 계정보다 더 높은 권한 수준의 서비스 티켓을 생성할 수 있다. 이는 KDC가 더 높은 권한의 서비스 티켓이 어떤 계정을 대상으로 하는지 식별하지 못하게 함으로써 이뤄진다”라고 설명했다. 

2021년 11월 업데이트에서 마이크로소프트는 PacRequestorEnforcement 레지스트리 값 지원을 추가했다. 이를 통해 실행 단계로 조기에 전환할 수 있다. 2022년 4월 12일에는 PacRequestorEnforcement의 0 설정을 제거할 계획이라고 회사 측은 밝혔다. 이 업데이트를 설치한 후 PacRequestorEnforcement를 0으로 설정하면 PacRequestorEnforcement를 1로 설정하는 것과 같다. 도메인 컨트롤러(DC)는 배포 모드가 된다.

마이크로소프트는 도메인에 업데이트를 설치한 후 7일이 지나면 실행 모드를 활성화하라고 권고했다. 2022년 7월 12일에는 모든 윈도우 도메인 컨트롤러에서 실행 모드가 활성화된다. 따라서 조직의 모든 도메인 컨트롤러에 11월 업데이트를 설치하는 게 좋다. 조직의 환경에서 일관성을 유지하고, 도메인 컨트롤러 간 불일치가 발생하지 않도록 하기 위해서다. 

도메인 컨트롤러가 PAC에 요청자를 포함하지 않는 경우 인증을 거부하도록 전환해도 괜찮은지 검증했다면 KB5008380의 레지스트리 PacRequestorEnforcement 값을 2로 변경한다. 이렇게 하면 PAC에 요청자가 포함돼 있지 않을 때 인증을 거부하여 도메인 컨트롤러를 취약점으로부터 보호할 수 있다.

AD 권한에 관한 보안 우회 취약점
11월 업데이트에 포함된 이 패치(CVE-2021-42291)는 AD 권한에 영향을 미치는 보안 우회 취약점을 해결한다. 해당 패치는 2가지 보호를 추가한다. 첫 번째는 도메인 관리자 권한이 없는 사용자가 컴퓨터 파생 객체에 LDAP 추가 작업을 시도할 때 권한 부여 확인을 추가한다. 여기에는 이러한 시도를 감사하는 기본 감사 모드와 이를 차단하는 실행 모드가 포함된다. 

두 번째 보호는 도메인 관리자 권한이 없는 사용자가 securityDescriptor 속성에서 LDAP 변경 작업을 시도할 때 명시적 소유자 권한을 일시적으로 제거한다. 사용자가 명시적 소유자 권한 없이 보안 설명자를 작성할 수 있는지 확인하기 위해 검증이 이뤄진다. 여기에도 이러한 시도를 감사하는 기본 감사 모드와 이를 차단하는 실행 모드가 포함된다.

11월 업데이트를 설치하면 디렉토리 서비스 이벤트 로그에서 도메인 컨트롤러의 이벤트 3044~3056을 확인한다. 발생하지 않아야 하는 이벤트가 보인다면 이벤트 3047(‘디렉토리 서비스가 다음과 같은 보안상의 이유로 차단됐을 객체에 대한 LDAP 추가 요청을 감지했습니다’)과 같은 알림이 표시된다. 오는 2022년 4월 12일에 패치가 시행되면 이러한 유형의 이벤트는 차단된다. 이제는 로그 파일을 검토하여 영향을 받는지 확인해야 한다.

결론적으로, 가능하다면 조기에 이런 보호 조치를 활성화해야 한다. 회사가 이러한 업데이트와 해당되는 레지스트리 키를 조기에 활성화할 수 있는지 또는 부작용이 있는지 검토해야 한다. ciokr@idg.co.kr