2020-09-29 10:40 (화)
마이크로소프트 패치 튜스데이 실수로 유출된 새로운 SMB 취약점
상태바
마이크로소프트 패치 튜스데이 실수로 유출된 새로운 SMB 취약점
  • 페소아 기자
  • 승인 2020.03.11 16:31
이 기사를 공유합니다

마이크로소프트의 SMB(Server Message Block) 프로토콜의 새로운 "웜 가능" 취약점에 대한 자세한 내용이 오늘 진행된 마이크로소프트 정기 패치 튜스데이 업데이트에서 실수로 온라인에 유출되었다.

CVE-2020-0796으로 추적된 보안 결함은 이번 3월 패치 튜스데이 업데이트에 포함되지 않으며 언제제 패치될 것인지 불분명하다.

기술적인 세부 정보는 공개되지 않았지만 버그를 설명하는 간단한 요약이 시스코탈로스(Cisco Talos)와 포티넷(Fortinet) 웹사이트에 게시되었다.

포티넷에 따르면 이 버그는 마이크로소프트 SMB 서버의 버퍼오버플로우 취약점으로 설명되어 있으며 최대 심각도 등급을 받았다.

포티넷은 "이 취약점은 소프트웨어가 악의적으로 제작된 압축 데이터 패킷을 처리할 때의 오류로 인한 것"이라며 "인증되지 않은 원격 공격자는 이 취약점을 악용하여 응용 프로그램 컨테스트 내에서 임의코드를 실행할 수 있다"고 설명했다.

시스코 탈로스 블로그 게시물에도 비슷한 설명이 게시 되었었으나 나중에 삭제되었다. 시스코 탈로스는 "이 취약점을 악용하면 시스템이 웜 가능(wormable)한 공격에 이를 수 있으며 이는 피해자에서 피해자로 쉽게 이동할 수 있음을 의미한다."고 설명했다.

SMB에 영향을 미치는 웜 버그에 대한 경고는 일부 시스템 관리자에게 심각하게 받아들여진다. SMB가 2017년 봄과 여름 동안 워너크라이(WannaCry)와 낫페트야(NotPetya) 랜섬웨어 변종이 전세계적으로 확산되는데 사용되었던 프로토콜이기 때문이다.

현재로서는 전 세계적인 위험은 없다. 2017년 처럼 실제 익스플로잇 코드가 아닌 버그에 대한 세부 사항만 온라인으로 유출되었을 뿐이기 때문이다. 비록 이 유출이 몇몇 악성 행위자들에게 SMBv3에 중요한 버그가 존재한다는 것을 알렸지만, 착취 시도가 바로 시작되지는 않을 것으로 예상된다.

게다가 다른 긍정적인 측면도 있다. 예를 들어 이 새로운 "웜 가능한 SMB 버그"는 최신 버전의 윈도우에만 포함된 프로토콜인 SMBv3에만 영향을 미친다는 것이다. 구체적으로는 포티넷은 CVE-2020-0796 버그의 영향을 받는 윈도우가 Windows 10 v1903, v1909, 서버 v1909라고 알려왔다.

어떻게 그리고 왜 온라인으로 이러한 치명적인 취약점에 대한 세부사항이 유출되었는지는 미스테리로 남아있다. 마이크로소프트는 이에 대해 특별한 언급을 하지 않았다. 이러한 문제 발생에 대해 두가지 가설이 있다.

첫번째는 CVRF(일반 취약점 보고 프레임워크)와 MAPP(마이크로소프트 액티브 보호 프로그램)에 관련되어 있다. 이는 마이크로소프트가 바이러스 백신 제조업체 및 하드웨어 공급업체와 같은 신뢰할 수 있는 업계 파트너와 향후 발생할 패치에 대한 세부 정보를 공유하는 것이다. 이 가설은 마이크로소프트가 앞으로 발생할 취약점 목록을 공유했지만, 시스코탈로스나 포티넷과 같은 일부 공급업체가 자체 보안 권고 사항을 업데이트할 시간이 거의 없이 버그를 목록에서 제거했을 수도 있다는 것이다.

두번째 가설은 CVE-2020-0796에 대한 정보가 마이크로소프트 API를 통해 우연히 공유되었다는 것이다. 마이크로소프트 API는 일부 바이러스 백신 공급업체, sysadmins 및 기자들이 패치 튜스데이 정보를 얻기 위해 사용한다. 이 가설은 버그가 처음에는 이 달에 패치될 예정이었지만 이후 패치로 변경되었는데, API에서 제거되지 않아 탈로스와 포티넷의 권고 사항으로 만들어졌을 수도 있다는 것이다.

마이크로소프트는 CVE-2020-0796용 패치가 언제 제공될지에 대해서는 알려오지 않았다. 그때까지는 시스코탈로스가 삭제했던 게시물에 있었던 권고가 가장 신뢰할 수 있는 조언으로 생각된다.

"사용자들에게 SMBv3 압축을 사용하지 않도록 설정하고 방화벽과 클라이언트 컴퓨터에서 TCP 포트 445를 차단할 것을 권장한다."

모든 사람들이 버그가 그곳에 있다는 것을 알고 있지만 아무도 볼 수 없기 때문에, 몇몇 보안 연구원들은 이 버그를 SMBGhost라고 부르기 시작했다.

★정보보안 대표 미디어 데일리시큐!★