최근 CVE-2017-0143(MS17-010)에 대한 여러가지 실시간 공격에 대한 내용을 알아보고 있는데,
CVE-2017-0143의 취약점 악용으로 인하여 Trans 명령을 부적절하게 처리하는 Windows SMB 서비스
취약점이 트리거 되었습니다.
공격이 성공하면 대상 호스트의 커널 메모리가 노출되어 결국 임의의 코드가 실행될 수 있는데,
오늘은 CVE-2017-0143 악용 관련 이슈에 대해 포스팅하도록 하겠습니다.

 

일반적으로 Exploit메일 슬롯(일방 프로세스 간 통신) 및 명명된 파이프와 통신하는 데 사용되는
SMB 트랜잭션 명령을 보냅니다.
그런 다음 TRANS_PEEK_NMPIPE 하위 명령을 실행하여 커널 메모리 공개 취약점을 트리거 합니다.

 

공격 네트워크의 흐름은 다음과 같습니다.
1. Tree Connect 요청은 공격자로부터 서버의 IPC$로 전송됩니다.
2. 서버가 승인 된 후 공격자는 "lsarpc"파일 열기를 요청합니다.
3. 서버는 "lsarpc"파일의 FID로 응답합니다.

 

 

4. 공격자는 파일의 인터페이스에 바인딩하여 취약점을 유발할 수 있는 요청을 보냅니다.
그런 다음 TRANS_PEEK_NMPIPE 부속 명령을 보냅니다.

 

 

5. 취약점은 트리거 되고 서버는 커널 메모리 내용으로 응답합니다.

얼마전 해당 취약점을 이용하여 WannaCry Ransomware가 폭발적으로 유포되어 심각한 문제를 유발하였는데, 피해를 최소화 할 수 있는 방안은 다음과 같습니다.

 

- PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능을 해제합니다.
- 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드의 감염여부를 검사합니다.
- 윈도우 PC(XP, 7, 8, 10등)또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트를 수행합니다.
또한 445 포트를 통해 다른 기기로 전파 될 수 있으므로 반드시 Microsoft에서 제공하는 보안 패치를 적용해야 합니다.

 

그리고 이미 감염된 경우에는 보안 패치 적용에 문제가 될 수 있으므로 인터넷 연결을 우선 해제한 후
Windows 방화벽의 인바운드 규칙에서 137-138(UDP), 139(TCP), 445(TCP)번 포트 차단 및 제어판의
Windows 기능 중 “SMB 1.0/CIFS 파일 공유 지원” 체크박스를 해제 후 Windows 재부팅을 진행하고 인터넷 연결을 통해 제공되는 보안 패치를 반드시 설치해야 합니다.

 

그러나 제일 좋은 방법은 정기적으로 중요한 파일들을 따로 백업을 하는 것 입니다.

 

오늘은 CVE-2017-0143 악용 관련 이슈에 대한 포스팅을 하였습니다.
다음에도 유익한 자료 올릴 수 있도록 하겠습니다.
감사합니다.



Posted by 로버무트

댓글을 달아 주세요