최근 마이크로소프트(MS)가 3월 정기 보안 업데이트를 제공하는 과정에서 윈도 서버 메시지 블록(SMB)에서 원격 코드 실행(RCE)이 가능한 취약점 정보를 실수로 공개했다. MS는 정기 업데이트 다음날인 12일(현지시간) 이 취약점에 대한 보안 패치를 자사 웹사이트에서 제공하기 시작했다.
이 취약점에 대한 세부 정보는 지난 10일 MS 보안 대응 센터(MSRC)에 게시됐다. 공통보안취약점공개항목번호(CVE)는 CVE-2020-0796다. CVE 등록 일자를 감안하면 지난해 11월4일 이전에 발견된 것으로 보인다.
이 취약점은 TCP 포트 445번으로 실행되는 SMB 서버의 버퍼 오버 플로 때문에 발생하는 취약점이다. 윈도10과 윈도 서버의 1903·1909 버전에서 작동한다.
취약점과 연관된 SMB는 파일 공유, 네트워크 탐색, 인쇄, 프로세스 간 통신을 가능케 하는 네트워크 프로토콜이다. 공격자가 이 취약점을 활용하려면 SMBv3 서버를 구성하고, 공격 대상이 이 서버에 연결하도록 유도해야 한다. SMBv3의 허점을 이용해 공격자는 조작된 패킷을 SMBv3 서버로 전송할 수 있다. 결과적으로 해커는 원격으로 시스템의 제어 권한을 획득할 수 있게 된다.
과거 글로벌 지역에서 대규모로 확산됐던 랜섬웨어 '워너크라이', '낫페트야'도 윈도 SMB 취약점을 악용했던 만큼 해당 취약점에 대한 보안업계 우려가 컸다. 시스코 보안 전문 조직 탈로스는 이 취약점에 대해 '웜' 공격을 가능케 하며, 이는 감염된 PC를 통해 다른 PC도 감염되게 할 수 있다는 것을 의미한다고 분석했다.
MS도 이 취약점의 심각성을 '치명적(Critical)'으로 분류했다. 다만 아직까지 이를 악용한 공격은 나타나지 않았다고 밝혔다. 패치를 배포하기 전까지 회사는 이 취약점 기반의 공격으로부터 시스템을 보호하기 위해 SMBv3 압축 비활성화 및 TCP 포트 445번 차단을 권고했었다.
이 취약점이 패치 발표 전 공개된 이유는 정확히 밝혀지지 않았다. 미국지디넷은 이에 대해 두 가지 추론을 내놨다.
관련기사
- 윈도10 다음 업데이트, 뭐가 바뀌나2020.03.13
- 윈도10 시작메뉴, 파폭 사용자에게 '엣지 쓰라' 광고2020.03.13
- 기술지원 종료 윈도7서 PC 강제종료 거부 버그 발생2020.03.13
- 정부, '脫 윈도' 시동…개방형 OS 성공할까2020.03.13
먼저 일반 취약점 보고 프레임워크(CVRF)와 MS 액티브 보호 프로그램(MAPP)을 통한 유출이다. MS는 신뢰할 수 있는 파트너를 대상으로 향후 제공할 취약점 패치 정보를 제공한다. 이번 경우 취약점 정보를 파트너인 보안 기업에게 공유했으나, 이들이 보안 권고 사항을 수정할 시간을 주지 않고 SMBv3 취약점을 취약점 목록에서 지웠다는 것을 가정한다.
MS API를 통해 공유됐을 가능성도 제기했다. 일부 백신 공급 기업과 시스템 관리자, 기자 등이 MS의 패치 정보를 획득하기 위해 API를 사용한다. MS가 패치 정보를 제공하기 전 SMBv3 취약점에 대한 내용을 지웠으나, API에서는 제거되지 않아 정보가 공개됐다는 가설이다.
