MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


MS 윈도의 제로로그온 취약점, 개념증명 익스플로잇 나오기 시작 2020.09.16  

8월에 패치까지 나온 치명적 취약점...공격자가 관리자 권한 가지고 DC에 접근 가능
넷로그온이라는 원격 프로토콜에서의 AES 알고리즘의 구현이 문제...긴급 패치 필요


[보안뉴스 문가용 기자] 마이크로소프트의 윈도에서 발견된 위험한 취약점의 개념증명 코드가 공개됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 관리자의 권한을 얻게 되며, 이를 통해 액티브 디렉토리 도메인 제어기에 접근할 수 있게 된다고 한다. 따라서 시급한 패치가 요구되는 상황이다.

[이미지 = utoimage]


이 취약점은 CVE-2020-1472로, 권한 상승 취약점으로 분류되었고, 제로로그온(Zerologon)이라는 이름이 붙어 있다. CVSS를 기준으로 10점 만점에 10점을 받았을 정도로 위험하며, 8월 정기 패치를 통해 해결된 바 있다. 그리고 한 달이 조금 넘은 시점에 여러 개의 개념증명 코드들이 깃허브를 통해 공개되기 시작했다. 최근까지 총 네 개가 등장했다고 보안 업체 시큐라(Secura)가 발표했다. 시큐라는 제로로그온의 최초 제보자이기도 하다.

시큐라는 백서를 통해 이러한 상황 및 취약점 기술 세부 사항을 발표하며 “엄청나게 파급력이 큰 공격으로 이어질 수 있는 취약점”이라고 경고했다. “로컬 네트워크에 있는 공격자(악성 내부자나 온프레미스 네트워크 어딘가에 꽂아둔 장비 등)로 하여금 윈도 도메인을 완전히 장악하게 만들어주는 취약점입니다. 심지어 사용자 크리덴셜 하나 없이 공격을 성공시키는 게 가능합니다.”

이 취약점의 근원은 넷로그온(Netlogon)이라는 원격 프로토콜에 뿌리를 두고 있다. 이는 윈도 도메인 제어기에 있는 프로토콜로, 사용자와 기계 사이의 인증과 관련된 작업을 수행하는 데에 필요하다. 넷로그온은 AES-CFB8 암호화 기술을 활용하는데, 이 기술은 평문 바이트 하나당 무작위적인 초기화 벡터(initialization vector, IV) 하나를 갖도록 되어 있다. 이 때문에 비밀번호를 추측하는 공격이 차단된다. 그러나 넷로그온의 ComputeNetlogonCredential이라는 함수가 이 IV를 고정된 16비트로 설정한다. 무작위성이 사라지게 되고, 따라서 공격자가 암호화된 텍스트를 제어할 수 있게 된다.

이러한 취약점을 익스플로잇 하려면 공격자는 여러 개의 넷로그온 메시지들을 전송하되, 여러 필드 값을 0으로 채워 넣으면 된다. 그러면 인증 수단들을 우회하고, 액티브 디렉토리에 저장된 도메인 제어기 비밀번호에 접근할 수 있게 된다. “결국 AES 암호화 기술을 비정상적으로 활용한 것이 문제의 근원이라고 볼 수 있습니다. 이 때문에 암호화 기술이 없는 것처럼 되어 버리는 것이죠.”

다만 이 공격을 실시하려면 공격 표적과 공격자가 같은 로컬 네트워크 상에 있어야 한다. 즉, 이 취약점을 통해 최초 침투를 이뤄낼 수 있는 건 아니라는 뜻이다. 다른 방법을 통해 침투를 이뤄낸 후에야 감행할 수 있는 공격이라는 것. “그럼에도 취약점이 위험하다는 사실은 변하지 않는다”는 게 시큐라의 입장이다. “침투 후 익스플로잇에 성공한다면 공격자가 네트워크 상에 있는 아무 기계로 스스로를 위장시킬 수 있거든요. 그리고 도메인 제어기의 인증을 받는 거죠. 여기서부터 더 많은 종류의 공격이 파생할 수 있습니다.”

그 ‘더 많은 종류의 공격’에는 랜섬웨어 공격도 포함된다. “도메인 제어기를 장악한 공격자라면 조직 전체에 랜섬웨어를 뿌리고, 시스템 복구가 진행되더라도 재차 감염시키는 등의 악성 행위를 할 수 있게 됩니다. 심지어 네트워크 상에 백업을 마련해두는 조직이라면 이러한 유형의 랜섬웨어 공격자에게 크게 당하게 될 겁니다.” 시큐라의 설명이다.

게다가 이런 ‘가능성’들이 이제부터는 ‘실제 위험’이 된다는 게 문제다. 깃허브에 네 개의 개념증명용 코드가 나타났기 때문이다. 이에 보안 전문가들과 미국 정부 기관들은 윈도 관리자들에게 신속히 8월 패치를 적용하라고 권고하기 시작했다. MS는 2020년 8월 11일자 패치를 통해 윈도를 업데이트 했고, 2021년 1사분기 내에 두 번째 관련 패치를 배포할 계획을 수립했다. 이 두 번째 패치를 통해 패치의 강제적 적용이 이뤄질 전망이다.

3줄 요약
1. 윈도 넷로그온에서 발견된 제로로그온 취약점, 10점 만점에 10점.
2. 8월에 패치되고 한 달 지난 시점, 깃허브에 각종 개념증명 코드 나타나기 시작.
3. 이제 패치를 미루면 진짜로 위험. 윈도 업데이트 하라는 권고 쏟아지기 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침