워너크라이로 대표되는 워머블 공격 가능케 하는 취약점, 정기 패치에서 빠져
일부 전문가들이 취약한 서버 스캔하는 툴 개발해 공개하기도...개념증명 코드도 나와

[보안뉴스 문가용 기자] 마이크로소프트가 윈도우를 위한 비정기 패치를 발표했다. 이번 달 정기 패치에서 놓친 치명적 위험도의 취약점을 업데이트 하기 위해서다. 이 취약점은 서버 메시지 블록(SMBv3)에서 발견된 것으로, 워너크라이(WannaCry)와 같은 ‘워머블’ 공격을 가능하게 한다고 알려져 있다.


이 취약점은 SMB 3.1.1 버전에서 발견된 것으로, 특정 요청들을 처리할 때 발동되며, 익스플로잇 될 경우 인증 절차를 거치지 않은 공격자가 SMB 서버와 클라이언트에서 임의의 코드를 실행할 수 있게 해준다.

서버를 공격할 땐 특수하게 조작된 패킷을 서버로 전송함으로써, 클라이언트를 공격할 땐 피해자를 악성 SMBv3 서버로 유인함으로써 취약점 익스플로잇이 가능하게 된다.

이 취약점은 MS가 이번 주 배포한 정기 패치를 통해 공개됐다. 당시 패치는 나오지 않았고 보안 권고 사항에서만 언급되었다. 본지도 어제 MS가 치명적인 취약점을 빠트리고 정기 패치를 진행했다는 내용으로 이에 대해 보도했다. MS는 패치가 완성될 때까지 사용자들이 취할 수 있는 방법들을 안내했었다.

해당 취약점은 CVE-2020-0796이고, 이를 제일 먼저 발견한 건 MS의 내부 연구원들이다. 하지만 보안 업계 내에서도 독립적으로 이를 발견한 전문가들이 존재하며, 이들 중 일부는 MS가 당연히 정기 패치에 해결책을 제시했을 줄 알고 취약점에 대한 기술 세부 사항을 공개했다가 패치가 발표되지 않은 것을 뒤늦게 깨닫고 게시글을 내리는 해프닝도 있었다.

보안 업계 일각에서는 이 취약점에 코로날블루(CoronalBlue)나 SMB고스트(SMBGhost)라는 이름을 붙여서 추적하고 있다. 윈도우 10과 윈도우 서버 1903과 1909 버전에 영향을 주는 것으로 나타났다.

MS는 아직 취약점에 대한 기술적 세부 사항을 상세한 수준으로 공개하고 있지는 않다. 그러나 일부 전문가들은 이미 이 취약점에 노출되어 있는 서버들을 탐지하는 스캐닝 툴을 개발하는 데 성공했으며, 깃허브를 통해 공개(https://github.com/cve-2020-0796)하고 있는 상황이다.

보안 전문 업체 크립토스 로직(Kryptos Logic)은 개념증명용 익스플로잇을 개발하는 데 성공했다고 트위터를 통해 주장했고, 이 도구를 통해 디도스 모의 공격을 성공시켰다고 밝혔다. 관련 내용이 담긴 영상은 여기(https://vimeo.com/397149983)서 열람이 가능하다. 또 크립토스 로직은 약 4만 8000개의 취약한 호스트들이 인터넷에서 검색되고 있다고 경고했다.

패치를 곧바로 적용하기 힘든 사용자들의 경우에는 SMBv3 압축 기능을 해제하고 TCP 포트 445를 방화벽에서 차단하는 것이 안전하다고 MS는 권고했다.

3줄 요약
1. MS, 이번 주 정기 패치 때 놓친 치명적 취약점에 대한 패치 발표.
2. 이 취약점은 ‘워머블’이라는 특성을 가지고 있어 크게 위험할 수 있음.
3. 일각에서는 코로날블루나 SMB고스트라는 이름으로 이 취약점을 부르고 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>