2024-12-22 00:55 (일)
윈도우 보안 프로토콜에서 취약점 발견돼…주의
상태바
윈도우 보안 프로토콜에서 취약점 발견돼…주의
  • 페소아 기자
  • 승인 2017.07.14 12:11
이 기사를 공유합니다

“모든 것에 NTLM을 사용하는 것은 매우 위험해”

ms-2.jpg
이번주 Preempt 보안팀은 마이크로소프트 윈도우 NT LAN Manager(NTLM) 보안프로토콜에서 버그가 발견되었다고 밝혔다. 해당 취약점은 NTLM을 부적절하게 처리하는 프로토콜에 관련이 있다.

연구팀은 “이 문제는 LDAP 서버 서명과 RDP 제한된 관리자 모드가 활성화되어 있더라도 새로운 도메인 관리자 계정을 생성해내는 공격이 가능해 더 위험하다”고 설명하고 있다.

첫번째 취약점인 CVE-2017-8563은 NTLM 릴레이로부터 LDAP(Lightweight Directory Access Protocol)가 보호되지 않는 것과 관련되어 있다. LDAP는 중간자 공격과 자격증명(credential) 전달을 방어한다. 그러나 보안 취약점으로 인해 자격증명 전달이 보호되지 않는다.

예를 들어 윈도우 프로토콜이 윈도우 인증 API(SSPI)를 사용할 때, 감염된 머신으로의 모든 연결 세션은 공격당할 수 있다. 만약 공격당한 시스템이 도메인 관리자라면, 공격자는 관리자 계정을 만들어 공격당한 네트워크를 컨트롤할 수 있다.

CVE가 할당되지 않은 두번째 문제는 RDP 제한된 관리자 모드와 관련있다. Preempt는 사용자는 장악당한 원격 머신에 그들의 암호를 지정하지 않고 연결할 수 있다고 말한다.

연구팀은 “RDP 제한된 관리자 모드를 사용하면 사용자가 원격 시스템에 암호를 입력하지 않고도 원격 시스템에 연결할 수 있다. 결과적으로 자격증명 릴레이 및 암호해독과 같은 NTLM을 사용하는 모든 공격이 해당 모드에 대해서 수행될 수 있다. RDP 제한된 관리자, HTTP, SMB같은 프로토콜과 연결할 때마다 공격자가 잠재적으로 도메인 관리자를 만들 수 있다”고 설명했다.

Preempt는 지난 4월 2일 마이크로소프트 측에 버그를 최초 보고했다. CVE-2017-8563의 경우 7월 패치 튜스데이에 패치가 발표되었으며, 두번째 버그의 경우 마이크로소프트는 악의적은 NTLM 릴레이를 막기위해 네트워크 설정이 요구되는 “알려진 문제”라고 설명했다.

Preempt에 따르면 모든 것에 NTLM을 사용하는 것은 매우 위험하다. 하지만 기업들이 네트워크에 사용해야만 한다면, SSL/TLS를 통해 LDAP인증을 더 안전하게 만들어야만 한다. 만약 자동 업데이트가 활성화되어 있지 않다면 모든 도메인 컨트롤러에 CVE-2017-8563 패치를 설치하고 GPO 설정에서 “LDAP 서명 필요”를 활성화시켜야 한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★