꿈을꾸는 파랑새

오늘은 윈도우 Wormable Windows SMBv3 CVE-2020-0796 취약점 대처 방법에 대해 알아보겠습니다. 해당 Wormable Windows SMBv3 CVE-2020-0796 취약점은 Microsoft는 이번 3월달 패치 수요일에 공개된 것으로 알려진 SMBv3 (Server Message Block 3.0) 네트워크 통신 프로토콜에서 발견된 웜 가능한 사전 인증된 원격 코드 실행 취약점에 대한 보안 갱신에 대한 정보를 공개했습니다.
해당 취약점은 SMBv3가 악의적으로 제작된 압축 데이터 패킷을 처리하고 이를 악용 한 인증되지 않은 원격 공격자가 응용 프로그램 컨텍스트 내에서 임의의 코드를 실행하도록 허용할 때 오류로 말미암아 발생하는 문제입니다. 해당 취약점은 CVE-2020-0796입니다.
해당 취약점 영향을 받는 데스크톱 및 서버 Windows 10 버전은 다음과 같습니다.
Windows 10 버전 1903, Windows Server 버전 1903 (Server Core 설치), Windows 10 버전 1909 및 Windows Server 버전 1909 (Server Core 설치)를 실행하는 장치는 Fortinet 권고에 따라 취약점의 영향을 받으며 SMBv3는 Windows 8 및 Windows Server 2012에 도입되었습니다.
Cisco Talos 에서는 Microsoft 패치 수요일 보고서에서 공격자는 대상 SMBv3 서버에 특수하게 조작된 패킷을 전송하여 이 버그를 악용할 수 있습니다 라고 설명했습니다. 해당 취약점을 악용하면 시스템이 wormable 공격에 노출되어 피해자에서 피해자로 쉽게 노출이 됩니다.
Fortinet은 CVE-2020-0796이 성공적으로 악용되면 원격 공격자가 취약한 시스템을 완전히 제어할 수 있다고 합니다.
어떤 보안전문가는 악성 코드 및 심각도에 대한 자체 이론을 제시하고 일부는 EternalBlue, NotPetya, WannaCry,MS17-010 과 비교합니다.
해당 취약점인 CVE-2020-0796 완화하는 방법은 다음과 같습니다.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force 

Microsoft가 CVE-2020-0796 RCE 취약점을 패치 하도록 설계된 보안 업데이트를 출시할 때까지 Cisco Talos는 클라이언트 컴퓨터와 방화벽에서 SMBv3 압축을 비활성화하고 445 TCP 포트를 차단하여 결함을 악용하려는 공격을 차단해야 한다고 합니다.

[소프트웨어 팁] - Windows 방화벽 특정 포트 열기

 

Windows 방화벽 특정 포트 열기

방화벽(Firewall)이라는 것은 컴퓨터 네트워크와 외부와의 통신의 제어를 하고 내부 컴퓨터 보호하는 데 목적이 있는 하드웨어나 소프트웨어 기술을 말을 하고 있습니다. 그리고 기본적으로 윈도에서는 기본적으로..

wezard4u.tistory.com

Wormable SMBv3 RCE에 대해서는 proof-of-concept 익스플로잇이 릴리스되지 않았지만, Microsoft가 주기적인 보안 업데이트를 할 예정입니다. Microsoft는 서버를 악용하려는 시도로부터 SMBv3 압축을 해제하는 방법에 대한 자세한 내용으로 보안 권고를 제시했습니다. 먼저 PowerShell 명령을 사용하여 SMBv3 서버에서 압축을 비활성화할 수 있습니다. (재부팅이 필요하지 않으며 SMB 클라이언트의 악용을 방해하지 않음)

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force 
네트워크를 보호하는 방법
1. 방화벽에서 TCP 포트 445를 차단
TCP 포트 445는 영향을 받는 구성 요소와의 연결을 시작하는 데 사용됩니다. 네트워크 경계 방화벽에서 이 포트를 차단하면 방화벽 뒤에 있는 시스템이 이 취약점을 악용하지 못하도록 보호할 수 있습니다. 이를 통해 기업 주변에서 발생하는 공격으로부터 네트워크를 보호할 수 있습니다. 기업 경계에서 영향을 받는 포트를 차단하는 것이 인터넷 기반 공격을 피할 수 있는 최선의 방어책입니다. 그러나 시스템은 여전히 ​​엔터프라이즈 경계 내에서의 공격에 취약할 수 있습니다.
일단 이렇게 임시로 대응하는 방법도 있고 아니면 저 같이 컴퓨터를 따로 사용한다고 하면 그냥 간단하게 해당 보안 업데이트가 나올 때까지 사용하시거나 방화벽에서 TCP 포트 445를 차단하는 방법도 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band