꿈을꾸는 파랑새

반응형

오늘은 윈도우 Wormable Windows SMBv3 CVE-2020-0796 취약점 대처 방법에 대해 알아보겠습니다. 해당 Wormable Windows SMBv3 CVE-2020-0796 취약점은 Microsoft는 이번 3월달 패치 수요일에 공개된 것으로 알려진 SMBv3 (Server Message Block 3.0) 네트워크 통신 프로토콜에서 발견된 웜 가능한 사전 인증된 원격 코드 실행 취약점에 대한 보안 갱신에 대한 정보를 공개했습니다.
해당 취약점은 SMBv3가 악의적으로 제작된 압축 데이터 패킷을 처리하고 이를 악용 한 인증되지 않은 원격 공격자가 응용 프로그램 컨텍스트 내에서 임의의 코드를 실행하도록 허용할 때 오류로 말미암아 발생하는 문제입니다. 해당 취약점은 CVE-2020-0796입니다.
해당 취약점 영향을 받는 데스크톱 및 서버 Windows 10 버전은 다음과 같습니다.
Windows 10 버전 1903, Windows Server 버전 1903 (Server Core 설치), Windows 10 버전 1909 및 Windows Server 버전 1909 (Server Core 설치)를 실행하는 장치는 Fortinet 권고에 따라 취약점의 영향을 받으며 SMBv3는 Windows 8 및 Windows Server 2012에 도입되었습니다.
Cisco Talos 에서는 Microsoft 패치 수요일 보고서에서 공격자는 대상 SMBv3 서버에 특수하게 조작된 패킷을 전송하여 이 버그를 악용할 수 있습니다 라고 설명했습니다. 해당 취약점을 악용하면 시스템이 wormable 공격에 노출되어 피해자에서 피해자로 쉽게 노출이 됩니다.
Fortinet은 CVE-2020-0796이 성공적으로 악용되면 원격 공격자가 취약한 시스템을 완전히 제어할 수 있다고 합니다.
어떤 보안전문가는 악성 코드 및 심각도에 대한 자체 이론을 제시하고 일부는 EternalBlue, NotPetya, WannaCry,MS17-010 과 비교합니다.
해당 취약점인 CVE-2020-0796 완화하는 방법은 다음과 같습니다.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force 

Microsoft가 CVE-2020-0796 RCE 취약점을 패치 하도록 설계된 보안 업데이트를 출시할 때까지 Cisco Talos는 클라이언트 컴퓨터와 방화벽에서 SMBv3 압축을 비활성화하고 445 TCP 포트를 차단하여 결함을 악용하려는 공격을 차단해야 한다고 합니다.

[소프트웨어 팁] - Windows 방화벽 특정 포트 열기

 

Windows 방화벽 특정 포트 열기

방화벽(Firewall)이라는 것은 컴퓨터 네트워크와 외부와의 통신의 제어를 하고 내부 컴퓨터 보호하는 데 목적이 있는 하드웨어나 소프트웨어 기술을 말을 하고 있습니다. 그리고 기본적으로 윈도에서는 기본적으로..

wezard4u.tistory.com

Wormable SMBv3 RCE에 대해서는 proof-of-concept 익스플로잇이 릴리스되지 않았지만, Microsoft가 주기적인 보안 업데이트를 할 예정입니다. Microsoft는 서버를 악용하려는 시도로부터 SMBv3 압축을 해제하는 방법에 대한 자세한 내용으로 보안 권고를 제시했습니다. 먼저 PowerShell 명령을 사용하여 SMBv3 서버에서 압축을 비활성화할 수 있습니다. (재부팅이 필요하지 않으며 SMB 클라이언트의 악용을 방해하지 않음)

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force 
네트워크를 보호하는 방법
1. 방화벽에서 TCP 포트 445를 차단
TCP 포트 445는 영향을 받는 구성 요소와의 연결을 시작하는 데 사용됩니다. 네트워크 경계 방화벽에서 이 포트를 차단하면 방화벽 뒤에 있는 시스템이 이 취약점을 악용하지 못하도록 보호할 수 있습니다. 이를 통해 기업 주변에서 발생하는 공격으로부터 네트워크를 보호할 수 있습니다. 기업 경계에서 영향을 받는 포트를 차단하는 것이 인터넷 기반 공격을 피할 수 있는 최선의 방어책입니다. 그러나 시스템은 여전히 ​​엔터프라이즈 경계 내에서의 공격에 취약할 수 있습니다.
일단 이렇게 임시로 대응하는 방법도 있고 아니면 저 같이 컴퓨터를 따로 사용한다고 하면 그냥 간단하게 해당 보안 업데이트가 나올 때까지 사용하시거나 방화벽에서 TCP 포트 445를 차단하는 방법도 있습니다.

반응형

공유하기

facebook twitter kakaoTalk kakaostory naver band

댓글

비밀글모드

  1. 윈도우는 매번 취약해서 걱정입니다
    2020.03.12 06:48 신고
    • 모든 프로그램에는 취약점이 있습니다.다만 윈도우가 많이 사용되니 집중타겟이 되는것이죠.다른운영체제가 높으면 바로 그 운영체제도 집중공격 받을것 입니다.
      2020.03.12 21:39 신고
  2. 새로운 것을 배웠네요. 늘 좋은팁 잘 보고 있어요.
    2020.03.12 21:57 신고
    • 지금 보안 업데이트가 공개 되어서 윈도우 업데이트를 진행을 하시면 됩니다.
      2020.03.13 20:14 신고