2020년 3월 10일 해외 보안 업체를 통해 실수로 공개되었던 Server Message Block 3.1.1 (SMBv3) 프로토콜이 특정 요청을 처리하는 방식에서 원격 코드 실행 취약점(CVE-2020-0796)이 존재한다는 사실이 외부에 알려졌습니다.
▷ 패치되지 않은 SMBv3 원격 코드 실행 취약점(CVE-2020-0796) 사전 예방 안내 (2020.3.12)
이로 인하여 공격자들은 발빠르게 SMBv3 취약점(일명 SMBGhost)을 이용하기 위한 장치를 검색하기 위한 스캐너(Scanner)를 제작하기 시작하였으며, 실제 서비스 거부 공격(DoS)이 가능한 데모 영상도 공개된 상태입니다.
이에 따라 마이크로소프트(Microsoft)에서는 3월 13일 Windows 업데이트 기능을 통해 SMBv3 원격 코드 실행 취약점에 대한 긴급 보안 패치(KB4551762)를 진행하기 시작하였습니다.
■ CVE-2020-0796 : Windows SMBv3 클라이언트/서버 원격 코드 실행 취약점
● 영향을 받는 운영 체제 버전 : Windows 10 버전 1903, Windows 10 버전 1909, Windows Server 버전 1903 (Server Core installation), Windows Server 버전 1909 (Server Core installation)
Microsoft Server Message Block 3.1.1 (SMBv3) 프로토콜이 어떤 요청을 처리하는 방식에서 원격 코드 실행 취약점이 존재합니다. 이 취약점 악용에 성공한 공격자는 표적이 되는 서버 또는 클라이언트에서 코드 실행을 할 수 있는 권한을 얻을 수 있습니다.
인증되지 않은 공격자가 서버에 대하여 이 취약점을 악용하기 위해서는 특수하게 조작된 패킷을 표적이되는 SMBv3 서버에 보낼 수 있습니다. 인증되지 않은 공격자가 클라이언트에 이 취약점을 악용하기 위해서는 악성 SMBv3 서버를 구성하고 사용자가 거기로 연결하도록 유도해야 합니다.
이 보안 업데이트는 SMBv3 프로토콜이 특수하게 조작된 요청을 처리하는 방식을 수정하여 취약점을 해결합니다.
참고로 앞서 Windows PowerShell을 통해 SMBv3 압축 비활성화를 한 경우 보안 패치 적용 이전에 Windows PowerShell을 관리자 권한으로 실행하여 다음의 명령어를 실행하시고 업데이트를 진행하시기 바랍니다.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
이번의 SMBv3 취약점은 차후 악용될 경우 심각한 보안 위협을 유발할 수 있으므로 영향을 받는 운영 체제 사용자는 반드시 최신 보안 업데이트를 적용하시기 바랍니다.