꿈을꾸는 파랑새

Microsoft는 2020년 3월 패치 일부로 결함에 대한 세부 정보가 유출된 지 이틀 후 Microsoft SMBv3 (Microsoft Server Message Block 3.1.1)에서 발견된 사전 인증된 RCE Windows 10 취약점을 패치 하려고 KB4551762 보안 업데이트를 긴급 업데이트를 진행을 했습니다. 해당 취약점인 CVE-2020-0796인 KB4551762 보안 업데이트는 Microsoft(마이크로소프트)에 따르면 파일, 프린터 및 직렬 포트에 대한 공유 액세스를 제공하는 네트워크 통신 프로토콜 문제를 해결했다고 합니다. 기본적으로 해당 보안 업데이트는 KB4551762는 Windows Update를 통해 업데이트를 확인하거나 Microsoft Update 카탈로그에서 자신이 사용하는 Windows (윈도우)버전에 맞게 수동으로 다운로드하여 설치 가능합니다. 먼저 해당 취약점을 악용 한 공격은 관찰되지 않았지만, 영향을 받는 장치 에이 업데이트를 우선으로 적용하는 것이 좋습니다. 즉 아직은 악성코드들이 만들어져서 공격하고 있지 않지만 언젠가는 해당 보안 취약점 업데이트를 하지 않은 컴퓨터를 대상으로 한 공격이 있을 수가 있어서 워너크라이 사태가 재현될 수가 있습니다.
SMBGhost 또는 EternalDarkness 라는 취약점은 Windows 10 버전 1903 및 1909를 실행하는 장치와 Windows Server Server Core 설치 버전 1903 및 1909에만 영향을 받으며 마이크로소프트(Microsoft) 는 해당 취약점이 Windows 10 버전 1903에 추가된 새로운 기능에만 존재하며 이전 버전의 Windows에서는 이 버그의 배후인 SMBv3.1.1 압축을 지원하지 않는다고 설명했습니다. SMBv3 RCE 취약점
Microsoft는 2020년 3월 정기보안 업데이트가 있는 한국시각 수요일에 결함에 대한 세부 정보를 조기에 접한 Microsoft Active Protections Program의 보안 공급 업체 부분 이후에 CVE-2020-0796에 대한 세부 정보를 공유했습니다.

SMBv3 취약점에 대한 KB4551762 긴급 보안 업데이트

당시 Microsoft는 SMBv3 확산에 영향을 주는 웜 가능한 사전 인증 RCE 취약점에 대한 소식을 듣고 잠재적인 공격을 차단하기 위해 유출된 버그 및 완화에 대한 자세한 정보를 제공하는 권고를 발표했습니다. 해당 권고에 따르면 Microsoft는 Microsoft SMBv3 (Server Message Block 3.1.1) 프로토콜이 특정 요청을 처리하는 방식에 대한 원격 코드 실행 취약점이며 해당 취약점을 성공적으로 악용 한 공격자는 대상 SMB 서버 또는 SMB 클라이언트에서 코드를 실행 가능할 수 있습니다. 해당 취약점은 SMB 서버에 대한 취약점을 악용하려면 인증되지 않은 공격자가 특수하게 조작된 패킷을 대상 SMBv3 서버로 보낼 수 있으며 SMB 클라이언트에 대한 취약점을 악용하려면 인증되지 않은 공격자가 악의적인 SMBv3 서버를 구성하고 사용자에게 연결 가능합니다.
SophosLabs의 공격 연구팀은 또한 낮은 수준의 권한을 가진 공격자가 SYSTEM 수준의 권한을 얻을 수 있는 로컬 권한 상승 개념 증명 악용에 대한 비디오 데모를 개발하고 공유했고 그리고 지난 시간에 이야기한 것처럼 현재 보안 갱신을 적용할 수 없는 관리자를 위해 Microsoft는 SMB 서버에 대한 완화 조치를 제공하고 이 PowerShell 명령을 사용하여 SMBv3 압축을 비활성화할 것을 권장합니다. (다시 시작할 필요가 없으며 SMB 클라이언트의 악용을 방해하지 않습니다.)

[소프트웨어 팁/보안] - 윈도우 Wormable Windows SMBv3 CVE-2020-0796 취약점 대처 방법

 

윈도우 Wormable Windows SMBv3 CVE-2020-0796 취약점 대처 방법

오늘은 윈도우 Wormable Windows SMBv3 CVE-2020-0796 취약점 대처 방법에 대해 알아보겠습니다. 해당 Wormable Windows SMBv3 CVE-2020-0796 취약점은 Microsoft는 이번 3월달 패치 수요일에 공개된 것으로 알려..

wezard4u.tistory.com

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
참고로 만약 해당 값을 지난 시간에 적용했다고 하면 해당 값을 해제하고 업데이트를 진행을 하셔야 합니다. 기존 명령어에서 DWORD -Value 1 -Force->DWORD -Value 0 -Force 으로 바꾸면 됩니다. 그리고 엔터프라이즈 고객은 결함을 악용하려는 SMB 서버에 대한 공격을 방지하기 위해 엔터프라이즈 방화벽에서 TCP 포트 445를 차단하는 것이 좋으며
취약한 Windows 10시스템에 대한 악의적인 검색은 지금까지 탐지되지 않았지만, 패치 되지 않은 장치를 대상으로 하는 공격은 PoC 악용이 이미 개발되었으며 버그를 쉽게 분석할 수 있음을 보고 있습니다. 즉 지난 워너크라이 랜섬웨어 사태처럼 랜섬웨어가 등장해서 업데이트를 할려고 하면 윈도우 서버가 터져나가기 때문에 미리 갱신을 해두는 것이 좋습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band