Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보MS Windows SMB 0-day(CVE-2017-0016)
작성일 2017-02-03 조회 1967

1. 개요

윈도우 10을 포함한 여러 윈도우에 SMB 0-day 취약점이 발견되었다. 해당 취약점은 null-point-dereference 취약점으로 SMB2/3 Tree Connect 응답 메시지를 제대로 검증하지 않아 발생한다. 공격 성공시, DoS가 발생한다.

o 취약 버전: Windows 8.1, 10, Server 2012, 2016

 

 

2. 취약점 확인 내역

해당 취약점은 mrxsmb20.dll 내부 구성요소에서 SMB 통신을 통해 들어온 페이로드 길이가 1470bytes 이상인 경우 null-pointer-dereference를 발생시키는 취약점이다.

 

이는 공개된 POC를 통해 살펴 볼 수 있다. 아래 PoC 스크립트 일부를 살펴보면 BUG로 작성되어 있는 부분이 존재한다. 해당 부분은 C라는 문자를 1500 bytes 이상으로 생성하여 SMB2TreeData로 전달한다. 생성된 1500bytes 이상의 페이로드가 공격 대상 PC로 전달되게 되면, mrxsmb20.dll에서 해당 값을 처리 시 null-pointer-dereference가 발생하게 된다.


[그림1. 공개된 POC 중 취약점 트리거 부분]

 

 

 

3. 취약점 테스트

공개된 POC를 이용하여 취약점 테스트를 진행하였다. 



[그림2. 공격 시스템에서 PoC.py 실행]

 

다음으로 공격 대상인 윈도우10에서 다음과 같이 공격 시스템으로 SMB통신 요청을 한다. 


[그림3. SMB 통신 요청]

 

공격 시스템에서 실행 시킨 스크립트를 통해 1500 bytes 이상으로 생성된 SMB2TreeData가 공격 대상 시스템에 전달되어 블루 스크린이 발생하는 것을 확인 할 수 있다.


[그림4. 공격 테스트 결과]

 

 

4. 정리

본 게시글에서 0-day 취약점인 MS Windows SMB2 취약점에 대해서 알아보았다.

해당 취약점을 이용하여 공격하는 방법은 간단하고 현재까지 패치가 진행되지 않아 각 시스템에 파급력이 클 것으로 판단된다. 

취약점에 대한 POC가 공개된 만큼 아래 대응방안을 참고하여 해당 공격으로 부터 시스템을 보호할 것을 권고한다.

 

 

5. 대응 방안

1) SMB 서비스 통신 포트(139, 445)를 비활성화 시킨다.

 

2) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 서비스 공격] : 400, SMB Service connect(tcp-445)

 


6. 참고

https://www.bleepingcomputer.com/news/security/smb-zero-day-affects-several-windows-versions-including-windows-10/

https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0088.html

https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

 

첨부파일 첨부파일이 없습니다.
태그   0-day  zero day