CVSS 10의 취약점 PoC가 공개되었기에 CVE-2020-1472에 대한 패치를 빠르게 적용해야 한다

2020년 08월 11일 MS는 CVE-2020-1472 (Zerologon)으로 불리는 CVSS 10점의 취약점 패치를 발표하였다.

해당 취약점은 Netlogon 프로토콜, 특히 세션에 대한 AES-CFB8 암호화 구현의 결함이 원인이며 취약점을 이용하여 Netlogon 프로토콜을 사용하는 네트워크 내에서 도메인 관리자로 권한을 높일 수 있기에 CVSS의 가장 높은 점수인 10.0을 받았다.

최근 해당 취약점이 다시 주목받기 시작한 이유는 PoC와 기술적 세부 사항이 발표되면서 이를 통한 실제 공격이 일어날 것을 우려하였기 때문이며 실제로 다양한 정부 기관과 CISA에서 zerologon에 대한 즉시 패치를 지시하는 비상 지침을 발표하기도 하였다.

특히, CISA(Cybersecurity and Infrastructure Security Agency)는 21일까지 패치를 완료할 것을 지시하였으며 해당 취약점이 악용될 가능성이 높고, AD 환경이 광범위하게 적용되고 있고, 공격의 성공 가능성이 높으며 취약점으로 인해 받는 영향이 크다는 점과 업데이트가 출시된 지 30일 이상 지속되는 취약점이라는 점에서 긴급한 조치를 발표한다고 밝혔다.

해당 취약점을 이용한 공격은 클라이언트의 크리덴셜을 속이고. RPC 서명에 대한 비활성화, 호출을 속여 AD와 도메인 계정의 비밀번호를 변경하는 순서로 악용될 수 있으며 이후 공격자는 전체 도메인에 대한 접근이 가능하며 데이터 유출, 네트워크 중단외에도 악성 코드 설치등 목표가 무엇이든 모든 공격 기회가 주어진다.

또한, 해당 취약점은 Windows 환경뿐 아니라 Linux 시스템용 SMB 네트워크 프로토콜인 SAMBA 4.7 version 이하에서도 결함을 가지고 있어 Samba에서 취약점 패치를 발표하였고 이에 대한 패치를 진행해야한다.

해당 취약점이 이슈가 된 뒤 다양한 테스트 스크립트와 Yara Rule 등 또한 공개되고 있으나 Windows의 AD, Linux에서 SAMBA 환경을 사용하고 있다면 즉각 패치를 진행하는 것이 중요하며 특히, 우리나라는 추석 연휴라는 기간이 다가오고 있기 때문에 해당 취약점뿐 아니라 업데이트에 대한 최신 패치를 유지하는 계획과 일정을 세워 진행하는 것이 중요하다.

보안관제센터 Team MIR