지난 'WannaCry' 랜섬웨어 사태 당시 악용되어 수많은 피해를 발생시켰던 SMB 프로토콜에서 새로운 취약점이 발견되었다. 이번에 발견된 취약점은 기존 많이 악용되었던 SMBv1, SMBv2의 취약점이 아닌, SMBv3의 취약점으로 해당 취약점은 웜 형태로 악용될 수 있는 원격 코드 실행 취약점인 것으로 알려졌다.
해당 취약점은 SMBv3에서 압축된 데이터 패킷을 처리하는 과정에서 발생하는 에러를 이용하는 취약점으로 인가되지 않은 공격자에 의해 어플리케이션에서 임의의 코드를 실행시킬 수 있도록 하는 취약점이다. 해당 취약점에 관한 마이크로소프트의 공식적인 조치 방안은 아직 발표되지 않았으나, SMBv3 프로토콜의 압축 기능을 해제하는 방법에 대한 Security Advisory를 제공하였다.
SMBv3의 패킷 압축 기능을 비활성화 하는 방법은 Powershell을 이용하여 아래의 명령을 입력하는 것을 통해 가능하다.
PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
해당 명령어는 재부팅이 필요하지 않지만, 마이크로소프트에 따르면 해당 명령어는 SMB 프로토콜 취약점에 대한 익스플로잇 시도를 완벽하게 차단할 수는 없다고 한다.
또한 마이크로소프트에서는 해당 취약점에 대한 패치가 제공되기 전 까지 SMB 프로토콜을 사용하지 않고, 방화벽을 통해 445포트를 차단할 것을 권고하고 있다. 하지만 AD 환경을 사용하거나, 공유 폴더를 사용하는 등 업무환경에서는 SMB 프로토콜을 완전히 사용하지 않을 경우 심각한 불편이 발생할 수 있으므로, 최소한 외부 IP에서 내부 IP의 445포트로 들어오는 패킷을 전부 차단하고, 내부망에서도 445포트를 통해 발생하는 네트워크를 평소보다 주의깊게 확인하여야 할 것으로 판단된다.
해당 취약점에 영향을 받는 버전은 아래와 같다.
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
[Reference]
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796
보안관제센터 Team MIR