2020년 6월 10일 (한국 시간 기준) 배포가 시작된 마이크로소프트(Microsoft) 정기 보안 업데이트에서는 Microsoft Server Message Block 1.0 (SMBv1)와 Microsoft Server Message Block 3.1.1 (SMBv3) 버전에서 발견된 취약점 패치가 포함되어 있습니다.
1. CVE-2020-1206 : Windows SMBv3 클라이언트/서버 정보 노출 취약점
■ 영향을 받는 운영 체제(OS) 버전 : Windows 10 1903 / 1909 / 2004, Windows Server 1903 / 1909 / 2004
▷ SMBv3 원격 코드 실행 취약점(CVE-2020-0796) 긴급 패치(KB4551762) 공개 (2020.3.13)
이번의 CVE-2020-1206 취약점(일명 SMBleed)은 2020년 3월 MS 정기 보안 업데이트 당시에 패치된 CVE-2020-0796 취약점(일명 SMBGhost 또는 EternalDarkness)과 동일한 압축 해제 기능과 관련된 문제입니다.
Microsoft Server Message Block 3.1.1 (SMBv3) 프로토콜이 어떤 요청을 처리하는 방식에서 정보 노출 취약점이 존재합니다. 이 취약점을 성공적으로 이용한 공격자는 사용자 시스템을 추가적으로 손상시킬 수 있는 정보를 얻을 수 있습니다.
인증되지 않은 공격자가 서버에서 이 취약점을 이용하기 위해서는 표적이 된 SMBv3 서버에 특수하게 제작된 패킷을 보낼 수 있습니다. 인증되지 않은 공격자는 클라이언트에서 이 취약점을 이용하기 위해서는 악성 SMBv3 서버를 구성하고 사용자가 그 서버에 연결하도록 유도해야 합니다.
이 보안 업데이트는 SMBv3 프로토콜이 특수하게 제작된 요청을 처리하는 방법을 수정하여 문제를 해결합니다.
2. CVE-2020-1301 : Windows SMB 원격 코드 실행 취약점
■ 영향을 받는 운영 체제(OS) 버전 : Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2008 SP2, Windows Server 2008 R2,
Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Microsoft Server Message Block 1.0 (SMBv1) 서버가 어떤 요청을 처리하는 방식에서 원격 코드 실행 취약점이 존재합니다. 이 취약점을 성공적으로 이용한 공격자는 대상 서버에서 코드 실행이 가능한 능력을 얻을 수 있습니다.
대부분의 상황에서 인증되지 공격자는 이 취약점을 이용하기 위하여 대상 SMBv1 서버에 특수하게 제작된 패킷을 보낼 수 있습니다.
이 보안 업데이트는 SMBv1이 특수하게 제작된 요청을 처리하는 방법을 수정하여 문제를 해결합니다.
참고로 보안 패치 지원이 종료된 Windows 7, Windows Server 2008 SP2, Windows Server 2008 R2 운영 체제의 경우에는 확장 보안 업데이트(ESU) 계약이 이루어진 경우 Windows Server 2008 (KB4561645), Windows 7 / Windows Server 2008 R2 (KB4561669) 보안 패치를 통해 업데이트를 할 수 있습니다.
CVE-2020-1301 취약점의 경우 보안 패치를 하지 않을 경우 2017년 5월에 발생하였던 SMBv1 원격 코드 실행 취약점을 이용한 WannaCry 랜섬웨어(Ransomware)와 같은 네트워크 방식의 악성코드 유포 공격의 대상이 될 수 있습니다.
그러므로 보안 패치를 할 수 없는 환경인 경우에는 방화벽에서 반드시 TCP 445번 포트를 차단하시기 바랍니다.