제로데이 윈도우 파일 공유 결함, 시스템을 충돌시킬 수 있다

윈도우에서 SMB(Server Message Block) 네트워크 파일 공유 프로토콜 구현은 해커들을 허용할 수 있는 심각한 취약점을 갖고 있어 최소한 원격으로 시스템들을 충돌시킬 수 있다.



패치가 적용되지 않은 이 취약점은 지난 2일 로렌트 가피에라는 독립 보안 연구원에 의해 널리 공개됐다. 이 연구원은 마이크로소프트가 지난 3개월동안 이 결함에 대한 패치 발표를 지연시켰다고 주장했다.

트위터에서 'PythonResponder'라는 이름으로 알려진 가피에는 깃허브에 이 취약점에 대한 익스플로잇 PoC(proof-of-concept)을 게시했으며, 이에 대해 카네기 멜론 대학의 CERT/CC(CERT Coordination Center)에서 자문을 받았다.

CERT/CC는 권고문에서 "마이크로소프트 윈도우에는 SMB 트래픽 처리시 메모리 손상 버그가 있어 인증되지 않은 공격자가 원격으로 서비스 거부를 유발하거나 잠재적으로 취약한 시스템에서 임의 코드 실행을 할 수 있다"고 밝혔다.

마이크로소프트의 SMB(Server Message Block) 프로토콜 구현은 윈도우 컴퓨터에서 네트워크를 통한 파일과 프린터를 공유하는데 사용되며, 이런 공유 리소스에 대한 인증도 처리한다.

이 취약점은 이 프로토콜의 최신 버전인 마이크로소프트 SMB 버전 3에 영향을 준다. CERT/CC는 이 익스플로잇이 완전히 패치된 윈도우 10과 윈도우 8.1 버전을 다운시키는데 악용될 수 있다고 확인했다.

CERT/CC는 "이 취약점을 통해 공격자는 특별히 조작된 응답을 보내는 악의적인 SMB 서버에 연결해 윈도우 시스템을 속이는데 악용할 수 있다. 이런 SMB 연결을 강제하는 방법은 많이 있으며, 일부 방법들은 사용자 인터페이스가 거의 또는 전혀 필요하지 않다"고 경고했다.

그나마 좋은 소식은 이 취약점을 통해 아직 임의 코드 실행이 성공한 사례가 확인된 적은 없다는 점이다. 그러나 CERT/CC가 설명한 메모리 손상 문제의 경우 코드 실행의 가능성이 있다.

취약점 정보 업체 리스크 베이스드 시큐리티(Risk Based Security) 연구소장 카스템 이램은 "지금까지 관찰할 이 문제는 코드 실행을 직접적으로 하는 방식은 아니지만, 좀더 깊게 분석한다면 바뀔 수 있다"고 말했다. 카스템은 이메일을 통해 "이는 단지 분석의 초기 단계에 불과하다"고 말했다.

이램의 업체는 완전히 패치된 윈도우 10 시스템에서 문제를 일으킬 수 있다는 점은 확인했으나 이것이 단순한 널 포인터 역참조(null pointer dereference) 충돌인지, 좀더 여러 곳에 심각한 영향을 줄 수 있는 문제인지는 확인되지 않았다고 말했다.

다만 이 업체는 CERT/CC의 지시에 따라 잠재적인 코드 실행 결함으로 간주하고 있으며, CERT/CC는 이 취약점의 영향력에 대해 CVSS(Common Vulnerability Scoring System)에서 최대 점수인 10점을 주었다.

가피에는 트위터를 통해 "마이크로소프트는 이번 문제에 대한 패치를 이번 달 패치 화요일(Patch Tuesday)에 계획하고 있다"고 밝혔다. 이번 패치는 2월 14일에 나올 예정인데, 이 취약점이 실제 치명적이고 해커 세계에서 이를 악용하기 시작한다면 정기적인 패치주기를 벗어날 수도 있다.

마이크로소프트는 이 문제에 대해 답변을 주지 않았다.

CERT/CC와 이램은 네트워크 관리자에게 로컬 네트워크에서 인터넷으로 아웃바운드 SMB 연결(UDP 포트 137, 138과 함께 TCP 포트 139, 445)을 차단하도록 조언했다. 그렇다고 해서 이 위협이 완전히 제거되지는 않지만, 로컬 네트워크로 격리시킬 수 있다.