패치가 적용되지 않는 웜 및 패치되지 않은 Microsoft 버그로 회사 LAN 위협
CVE-2020-0796은 Microsoft SMB 파일 공유 시스템의 버전 3.1.1에 영향을 미치며 화요일 패치에는 포함되지 않았습니다.
Microsoft는 2017 년 악명 높은 WannaCry 랜섬웨어가 대상으로 한 것과 동일한 프로토콜 인 Microsoft 서버 메시지 블록 프로토콜의 웜 가능 패치가 적용되지 않은 원격 코드 실행 취약점에 대해 경고하고 있습니다.
치명적 버그 (CVE-2020-0796)는 Windows 10 및 Windows Server 2019에 영향을 미치며 이번 주 Microsoft 패치 화요일 릴리스 에는 포함되지 않았습니다 .
버그는 Microsoft SMB 파일 공유 시스템 버전 3.1.1에서 찾을 수 있습니다. SMB를 사용하면 여러 클라이언트가 공유 폴더에 액세스 할 수 있으며 측면 이동 및 클라이언트-클라이언트 감염과 관련하여 맬웨어에 대한 풍부한 놀이터를 제공 할 수 있습니다. 이것은 WannaCry 랜섬웨어 가 NSA에서 개발 한 EternalBlue SMB 익스플로잇 을 사용하여 전 세계적으로 빠르게 전파 되는 2017 년 SMB 1 버전에서 진행되었습니다 .
이 경우,“SMB 서버에 대한 취약점을 악용하기 위해 인증되지 않은 공격자는 특수하게 조작 된 패킷을 대상 SMBv3 서버로 보낼 수 있습니다.”Microsoft 는 수요일 발표 된 권고에서 설명 했습니다 . "SMB 클라이언트에 대한 취약점을 악용하려면 인증되지 않은 공격자가 악의적 인 SMBv3 서버를 구성하고 사용자가이 서버에 연결하도록 유도해야합니다."
Microsoft는 버그에 대한 세부 정보가 Cisco Talos 및 Fortinet에 의해 온라인으로 게시 된 후에 만 권고를 발표했습니다. 이 회사의 공개는 Microsoft와의 명백한 오해였습니다. 두 게시물이 모두 게시 중단되었습니다.
Duo Security 에 따르면 Fortinet은이 문제를“Microsoft SMB 서버의 버퍼 오버플로 취약점”이라고 설명했으며 애플리케이션 컨텍스트 내에서 임의의 코드를 실행하는 데 사용될 수 있다고 말했습니다. 한편 Cisco Talos는“웜 가능한”공격이 취약점을 악용하여“피해자에서 피해자로 이동”할 수 있다고 경고했습니다.
추가 정보를 위해 두 회사에 위협 포스트가 연락했습니다. Cisco Talos는 Threatpost에 다음과 같이 말했습니다.“3 월 10 일에 진행중인 작업에 대한 정보가 실수로 게시 된 다음 최종적으로 완료되지 않았기 때문에 Talos 블로그에서 즉시 삭제되었습니다. 정책 상, 아직 공개가 승인되지 않은 연구에 대해서는 논의하지 않습니다. 우리는 이것이 약간의 혼란을 초래할 수 있다는 것을 알고 있으며 더 많은 것을 제공 할 때 후속 조치를 취할 것입니다.
버그는 위험하지만 연구원들은이 버그가“WannaCry 2.0”으로 이어지지는 않을 것이라고 말했다.
Automox의 선임 기술 제품 관리자 인 Richard Melick은“SMBv3이 SMBv1만큼 널리 사용되지 않는다는 점을 고려하면이 위협의 즉각적인 영향은 과거의 취약점보다 낮을 가능성이 높습니다. "그렇다고해서 조직이 Microsoft가 패치 작업을하는 동안 발생할 수있는 엔드 포인트 강화를 무시해야한다는 것은 아닙니다. 오늘 응답하고 SMBv3를 비활성화하고 TCP 포트 445를 차단하는 것이 좋습니다. 지금 응답하고 취약점은 오늘 끝납니다."
보안 회사 인 Rendition Security의 설립자 인 Jake Williams 는 트위터 에서 커널 보호, 특히 커널 주소 공간 레이아웃 무작위 화 (KASLR)에 의해 악용 위험이 완화 된다고 말했다 . KASLR은 주어진 프로세스에서 주요 데이터 영역의 주소 공간 위치를 무작위로 배열합니다. 이는 공격자가 하나의 공격 경로를 설정하여 반복해서 사용할 수 없다는 것을 의미합니다.
"핵심 SMB는 커널 공간에 있으며 KASLR은 악용 완화에 탁월합니다."라고 Williams는 말했습니다. "이것이 커널 공간이라고 가정하면, 실패한 착취로 인해 [죽음의 블루 스크린] BSOD가 발생합니다." “트리거 코드를 사용하더라도 KASLR을 원격으로 우회해야합니다 (쉽지 않은 작업은 아님). 증거가 필요하면 BUCKEYE를보십시오 . EternalBlue 트리거가 있었지만 코드 실행을 위해 다른 정보 유출 취약성과 연결해야했습니다. 쉽지 않습니다.”
마이크로 소프트는 지금까지이 취약점이 악용되었다는 증거는 없다고 밝혔다. 그러나 Melick은 조심스럽게 진행한다고 말했다.
“이 웜 취약점이 얼마나 효과적 일지는 아직 알려지지 않은 사람들이 너무 많습니다. EternalBlue만큼 구현하기가 쉬울까요? 아니면 BlueKeep과 같은 어려움을 겪을 것입니까?” Melick은 지난해에 공개 된 웜 버그 와 관련하여 후자는 일부 WannaCry 수준의 이벤트로 이어질 것이라고 우려했다. BlueKeep에 대한 공격은 그러나 지금까지 한 잘 짧은 떨어 연구자들의 초기 두려움.
CVE-2020-0796에 사용할 수있는 패치가 없으며 Microsoft는 이에 대한 타임 라인을 제공하지 않았습니다. 그러나 Microsoft는 관리자가 PowerShell을 사용하여 SMBv3 압축을 비활성화하여 인증되지 않은 공격자가 SMBv3 서버에 대한 취약점을 악용하지 못하게 할 수 있다고 지적했습니다.
외부 공격으로부터 클라이언트를 보호하려면 엔터프라이즈 경계 방화벽에서 TCP 포트 445를 차단해야합니다.
“TCP 포트 445는 영향을받는 구성 요소와의 연결을 시작하는 데 사용됩니다. “네트워크 경계 방화벽에서이 포트를 차단하면 방화벽 뒤에있는 시스템이이 취약점을 악용하지 못하도록 보호 할 수 있습니다. 이를 통해 기업 주변에서 발생하는 공격으로부터 네트워크를 보호 할 수 있습니다. 기업 경계에서 영향을받는 포트를 차단하는 것이 인터넷 기반 공격을 피할 수있는 최선의 방어책입니다.”
그러나 시스템은 여전히 엔터프라이즈 경계 내에서의 공격에 취약 할 수 있습니다. 따라서 공격자가 회사 네트워크에 침입 한 후에는 악용을 통해 무자비한 방식으로 이동할 수 있습니다. Microsoft는 측면 연결을 방지하기위한 일반 지침 을 발표했습니다 .