Windows에 새로운 웜 취약점이 있으며 패치가 보이지 않습니다.

Windows에 새로운 웜 취약점이 있으며 패치가 보이지 않습니다.
신비한 상황에서 발표 된 Microsoft SMBv3 구현의 치명적 버그.

WannaCry 및 NotPetya 웜이 전 세계 비즈니스 네트워크를 무너 뜨릴 수있는 일종의 자체 복제 공격을 유발할 수있는 최신 Windows 버전의 새로운 취약점으로 화요일에 유출되었습니다.

서버 메시지 블록 3.1.1의 버전 3.1.1에는 로컬 네트워크와 인터넷을 통해 파일, 프린터 및 기타 리소스를 공유하는 데 사용되는 취약점이 존재합니다. 이 결함을 성공적으로 악용 한 공격자는 취약한 프로토콜을 사용하는 서버와 최종 사용자 컴퓨터 모두에서 원하는 코드를 실행할 수 있다고 Microsoft는이 핵심 권고 에서 밝혔다 .

이 취약점은 CVE-2020-0796로 추적되어 Windows 10 및 Windows Server 2019에 영향을 미칩니다. Windows 10 및 Windows Server 2019는 Microsoft가 이러한 유형의 공격에 대해 정확하게 강화하기 위해 막대한 양의 리소스를 투자 한 비교적 새로운 릴리스입니다. 패치는 제공되지 않으며 화요일 권고는 발표 된 일정을 제공하지 않았습니다. Microsoft 담당자는 수정 프로그램 릴리스에 대한 타임 라인이 있는지 물었습니다. "연결된 권고 외에는 현재 Microsoft와 공유 할 다른 정보가 없습니다."

한편, Microsoft는 인증되지 않은 공격자가 SMBv3 서버에 대한 취약점을 악용하지 못하도록 압축을 비활성화하여 취약한 서버를 보호 할 수 있다고 말했습니다. 사용자는 다음 PowerShell 명령을 사용하여 컴퓨터를 재부팅하지 않고도 압축을 해제 할 수 있습니다.

Set-ItemProperty-경로 "HKLM : \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters"DisableCompression -Type DWORD -Value 1 -Force
이 수정은 취약한 클라이언트 컴퓨터를 공격으로부터 보호하지 않습니다. 또한 컴퓨터간에 SMB 트래픽을 보내는 데 사용되는 포트 445를 차단하는 것이 좋습니다.

지금 당신은 그것을 참조하십시오, 지금 당신은하지 않습니다
보안 회사 Fortinet이 권고를 게시 한 후 제거하여 취약점을 "MS.SMB.Server.Compression.Transform.Header.Memory.Corruption"이라고 설명했습니다. 이 권고에 따르면이 취약점은 취약한 Microsoft SMB 서버 의 버퍼 오버플 로 의 결과라고 합니다.

포티넷 연구원들은“이 취약점은 악의적 인 소프트웨어가 악의적으로 제작 된 압축 데이터 패킷을 처리 할 때 오류로 인한 것”이라고 밝혔다. "인증되지 않은 원격 공격자는이 취약점을 악용하여 응용 프로그램 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다."

시스코의 Talos 보안 팀은 자체 자문을 게시했다가 나중에 풀었다. 이 취약점은 "웜성 (vulable)"이라고 불렀습니다. 단일 공격으로 인해 연쇄 반응이 발생하여 공격자가 관리자 나 사용자와의 상호 작용없이 취약한 시스템에서 취약한 시스템으로 확산 될 수 있습니다.

탈로스 포스트는“공격자는 대상 SMBv3 서버에 특수하게 조작 된 패킷을 보내 공격자가이 버그를 악용 할 수있다”고 말했다. “방화벽과 클라이언트 컴퓨터에서 SMBv3 압축을 비활성화하고 TCP 포트 445를 차단하는 것이 좋습니다. 이 취약점을 악용하면 시스템이 '웜 가능한 (wormable)'공격에 노출되어 피해자에서 피해자로 쉽게 이동할 수 있습니다. "

Microsoft의 SMBv3 구현에는 Windows 컴퓨터에서 프로토콜의 보안을 강화하기 위해 설계된 다양한 방법이 도입되었습니다. 이 업데이트는 WannaCry 와 NotPetya 가 국가 안보국에 의해 개발 된 이후에 도난당한 익스플로잇을 사용한 후에 더 널리 사용되었습니다 . 이터널 블루 (EternalBlue)로 알려진이 공격은 SMBv1을 악용하여 원격 코드 실행을 얻고 시스템 간을 이동했습니다. Microsoft는 이와 유사하게 Windows 10 및 Server 2019를 강화하여 악용, 특히 웜 가능한 악용을보다 잘 견뎌냅니다.

왜 Microsoft가 희소 정보를 공개했는지, 왜 Fortinet와 Talos가 발표를했는지 그리고 왜 조언을 얻었는지는 명확하지 않습니다. 이 이벤트는 Microsoft가 다양한 보안 취약점을 해결하기 위해 패치를 릴리스하는 매월 두 번째 화요일에 화요일 업데이트에 발생했습니다.

위험 평가
CVE-2020-0796은 잠재적으로 심각하지만 모든 사람이 WannaCry와 NotPetya에 의해 악용 된 SMBv1 결함으로 인한 위협을 제기한다고 말한 것은 아닙니다. 이 웜은 EternalBlue 의 공개 릴리스에 의해 연료를 공급받습니다. 이 익스플로잇은 매우 신뢰할 수있는 익스플로잇으로 복사 및 붙여 넣기 연습을했습니다. 웜의 성공에 기여한 또 다른 주요 요인은 당시 SMBv1의 거의 보편적 인 것이 었습니다. 대조적으로 SMBv3은 훨씬 덜 사용됩니다.

SMB는 취약점이 성공적으로 악용 될 경우 공격자 코드가로드되는 메모리 위치를 무작위로 보호하는 커널 주소 공간 레이아웃 무작위 화로 보호됩니다. 보호를 위해서는 공격자가 버퍼 오버플로 또는 기타 코드 실행 취약점을 악용하는 악의적 인 악용과 악의적 인 페이로드의 메모리 위치를 나타내는 악용을 악용해야합니다. 이 보호를 위해서는 EternalBlue의 신비한 유출 14 개월 전에 SMBv1 결함 을 악용 한 고급 해커 그룹 인 Buckeye 가 별도의 정보 유출 결함도 사용해야했습니다.

전 NSA 해커이자 보안 회사 인 Rendition Security의 설립자 인 제이크 윌리엄스 (Jake Williams)는 트위터 스레드 에서 두 가지 요소 모두 취약한 네트워크 시간을 구매할 것이라고 말했다.

"여기서 TL; DR은 이것이 심각하지만 WannaCry 2.0이 아니라는 것입니다." “시스템이 적을수록 쉽게 이용할 수있는 익스플로잇 코드는 없습니다. 나는 또 다른 중소 기업에 대해 흥분하지는 않지만, 우리 모두 이것이 이것이 올 것이라는 것을 알았습니다 (그리고 이것이 마지막이 아닐 것입니다). 히스테리는 보증되지 않습니다.”

지난 5 월 마이크로 소프트가 패치 한  또 다른 웜 취약점의 이름 인 블루 키프 (BlueKeep) 는 전 세계 네트워크에 심각한 위험 을 초래 한 심각한 경고 에도 불구하고 광범위하게 (아직도) 악용되지 않았 음을 기억할 가치가 있다 .

권고가 발표 된 후 트위터에서 상당히 많은 추론이 제기되었습니다. Microsoft는 일반적으로 안티 바이러스 제품 및 침입 방지 시스템 제조업체와 함께 출시 될 패치에 대한 세부 정보를 제공합니다. 마이크로 소프트가 막판 SMBv3 패치의 출시를 연기했을 가능성이 있으며, 이들 파트너는 그 말을 듣지 못했습니다.

원인이 무엇이든, 고양이는 가방에서 나왔습니다. 인터넷에 SMBv3가 노출 된 Windows 사용자는 가능한 빨리 Microsoft의 보안 조언에 유의하십시오.