원격 익스플로잇이 가능한 SMBv3 취약점
Microsoft의 서버 메시지 블록 프로토콜에서 치명적인 수준의 취약점이 새롭게 발견되었다. 해당 취약점은 CVE-2020-0796으로 Windows SMBv3 클라이언트 / 서버 원격 코드 실행 취약점이다. 이는 SMB 3.1.1 프로토콜이 압축패킷을 처리하는 방식에서 취약점이 발생하며, 공격자가 특수하게 조작된 패킷을 공격 대상 SMBv3 서버에 보내어 해당 취약점을 악용할 수 있다.
이 취약점은 아래의 보기와 같이 비교적 최신 운영체제에서 작용된다.
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
해당 취약점을 해결하기 위한 방법은 다음과 같다.
Microsoft에서 본 취약점에 대한 새로운 보안 업데이트를 발표해, 보안 업데이트를 실시한다. 만약, 사용 가능한 패치가 없다면 다음의 두 가지 조치를 취하도록 권고한다. 이 취약점이 악용되려면 공격자가 전달한 악성 SMBv3 서버를 연결해야 한다. 그러므로 아래의 파워셀 명령으로 SMBv3 서버에 대해 프로토콜 압축을 비활성화한다.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 –Force
그리고, SMB 클라이언트에 대해서는 TCP 포트 445를 차단한다.
CVE-2020-0796 취약점이 악용된다면, 원격 익스플로잇을 포함해 임의 코드 실행도 가능하여, 워너크라이와 같은 웜 악성코드가 동작 할 수 있어 큰 피해를 초래할 수 있다. 그러므로 보안 업데이트를 실시하고, TACHYON Internet Security 5.0와 같은 보안 솔루션을 사용할 것을 권장한다.
'취약점 정보' 카테고리의 다른 글
[취약점 분석] VMware 제품군 보안 업데이트 권고 (0) | 2020.07.16 |
---|---|
[취약점 분석] Juniper OS 취약점 보안 업데이트 권고 (0) | 2020.07.16 |
MS Office CVE-2017-11826 취약점 보안패치 권고 (0) | 2017.11.24 |
[공지]MS 인터넷 익스플로러 원격코드 실행 취약점 긴급 보안업데이트 권고 (MS12-063) (0) | 2012.09.22 |
2011년 1월 마이크로소프트(MicroSoft) 윈도우 그래픽 렌더링 엔진 취약점 공개 (1) | 2011.01.06 |