보안 이슈 분석

CVE-2020-0796 취약점 주의

원격 익스플로잇이 가능한 SMBv3 취약점

 

Microsoft의 서버 메시지 블록 프로토콜에서 치명적인 수준의 취약점이 새롭게 발견되었다. 해당 취약점은 CVE-2020-0796으로 Windows SMBv3 클라이언트 / 서버 원격 코드 실행 취약점이다. 이는 SMB 3.1.1 프로토콜이 압축패킷을 처리하는 방식에서 취약점이 발생하며, 공격자가 특수하게 조작된 패킷을 공격 대상 SMBv3 서버에 보내어 해당 취약점을 악용할 수 있다. 

 

이 취약점은 아래의 보기와 같이 비교적 최신 운영체제에서 작용된다.

 

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

해당 취약점을 해결하기 위한 방법은 다음과 같다.

 

Microsoft에서 본 취약점에 대한 새로운 보안 업데이트를 발표해, 보안 업데이트를 실시한다. 만약, 사용 가능한 패치가 없다면 다음의 두 가지 조치를 취하도록 권고한다. 이 취약점이 악용되려면 공격자가 전달한 악성 SMBv3 서버를 연결해야 한다. 그러므로 아래의 파워셀 명령으로 SMBv3 서버에 대해 프로토콜 압축을 비활성화한다. 

 

   Set-ItemProperty      -Path      "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"     

   DisableCompression -Type DWORD -Value 1 –Force

 

그리고, SMB 클라이언트에 대해서는 TCP 포트 445를 차단한다. 

CVE-2020-0796 취약점이 악용된다면, 원격 익스플로잇을 포함해 임의 코드 실행도 가능하여, 워너크라이와 같은 웜 악성코드가 동작 할 수 있어 큰 피해를 초래할 수 있다. 그러므로 보안 업데이트를 실시하고, TACHYON Internet Security 5.0와 같은 보안 솔루션을 사용할 것을 권장한다.

 

댓글

댓글쓰기