Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보MS Windows SMB 0-day 추가 공격 기법 (CVE-2017-0016)
작성일 2017-03-09 조회 2905

1. 개요

이전에 공개된 방식 외에 추가적인 공격 방식이 공개 되었다. 이번에 공개된 공격 기법은 "Redirect to SMB", "Inline image to SMB" 를 이용한 공격 기법으로, 이전에 공개되었던 공격은 피해자가 악의적인 서버에 직접 IP를 쳐서 접근해야 하는 어려움을 해결 할 수 있는 방법이다. 

 

o 테스트 버전: Windows 10

o 어플리케이션: Internet Explorer 11, MS Edge

 

 

2. 공격 기법 설명

Redirect to SMB 공격 기법은 Aaron Spngler에 의해 1997년에 발견된 취약점을 기반으로 한 것으로, SecureWorks 연구원이 2015년도에 윈도우 10을 바탕으로 발견한 내용이다. Internet Explorer에 file(예: file://1.1.1.1/)이라는 단어로 시작하는 URL을 제공하면, 운영체제에서 IP 주소 1.1.1.1에서 SMB 서버로 인증하게 된다. 이 "file" URL은 이미지, iframe 또는 브라우저에서 기타 웹 리소스로 제공 될 수 있다.

 

위의 방법을 사용하여 일반 HTTP 요청을 웹 서버로 리디렉션하는 방법으로 302 상태 코드로 응답하여, 클라이언트를 file:// URL로 리디렉션하도록 하여 악의적인 서버로 SMB 통신이 연결 되도록 하였다.

 

또 다른 방법으로는 Inline image to SMB 방식으로 이미지 태그를 사용하여 연결 되도록 하였다.

 


[그림1] 웹 서버의 공개 디렉토리에 배치 된 PHP 파일 예시

 


[그림2] 인라인 이미지에서 SMB DoS 익스플로잇 

 

 

 

3. 취약점 테스트

공개된 PoC를 이용하여 취약점 테스트를 진행하였다.  아래 [그림1]은 공개된 PoC의 내용이다.


[그림3] PoC 정보

 

 

다음으로 해당 PoC를 돌려, 공격 테스트 진행하는 과정에 대해 살펴보도록 하겠다.
 

1) 공격자는 제어하는 시스템에서 PoC를 실행한다. 이 예제에서는 공격자 제어 시스템은 PoC(Win10.py)를 실행하고 TCP 포트 445에서 수신 대기 중이다. 


[그림4] 공격 시스템에서 PoC.py 실행

 

2) 공격자는 다른 시스템에서 웹 서버를 설정하고 실행한다.

- 테스트한 웹 서버 IP: 192.168.1.207

 

3) 공격자는 그림 1에 있는 "redirect-smb.php" PHP 파일을 웹 서버 디렉토리에 저장한다. 이 PHP 파일은 Redirect to SMB 공격 기법을 사용한다.
(이와 마찬가지로 Inline.html 파일(Inline image to SMB 공격 기법 사용)도 동일한 위치에 저장한다.)


[그림5] 웹 서버 디렉토리에 있는 redirect-smb.php 파일 내용

 


[그림6] 웹 서버 디렉토리에 있는 Inline.html 파일 내용

 

4) 피해자 Windows 10 시스템에서 Internet Explorer 나 MS Edge를 사용하여 공격자의 웹 서버에 접근하면, 피해자는 "redirect-smb.php" 파일 또는 "Inline.html" 에 해당하는 링크를 클릭한다.


[그림7] 피해자가 악의적인 PHP 파일로 연결되는 링크를 클릭 (Internet Explorer)
 


[그림8] 피해자가 악의적인 html 파일로 연결되는 링크를 클릭 (Microsoft Edge)

 

 

5) 해당 링크를 클릭하면 대상 시스템이 공격자 SMB 서버로 리디렉션되고 DoS 공격이 시작된다. 


[그림9] 피해자 시스템에 SMB DoS 공격을 보내는 중

 

 

6) 몇 초 후 피해자의 Windows 10 시스템이 충돌하여 BSOD(Blue Screen of Death)가 표시되고 자동으로 다시 시작한다. 


[그림10] SMB DoS 취약점을 악용 한 후, 피해자 시스템에 표시되는 BSOD

 

 

리디렉션 관련 트래픽 정보를 살펴보면 다음과 같이 302 응답 값을 주면서, Referer로 SMB로 리디렉션 하는 것을 확인 할 수 있다.


[그림11] SMB로 리디렉션 되는 트래픽 정보

 

다음으로 인라인 방식의 트래픽은 아래와 같은 트래픽 정보를 확인 할 수 있다.


[그림12] SMB로 연결되는 트래픽 정보

 

 

4. 정리

본 게시글에서 0-day 취약점인 MS Windows SMB2 취약점의 추가 공격 기법에 대해서 알아보았다. 

 

해당 공격에서는 Internet Explorer와 Microsoft Edge 두개의 브라우저를 테스트 하였다. 이와 관련된 테스트 결과는 아래와 같다. 

 공격 벡터 Internet Explorer Microsoft Edge
Redirect to SMB Exploited Failed
Inline image to SMB Exploited Exploited

 

해당 취약점을 이용하여 공격하는 방법은 간단하고 현재까지 패치가 진행되지 않아 각 시스템에 파급력이 클 것으로 판단된다. 

 

취약점에 대한 POC가 공개된 만큼 아래 대응방안을 참고하여 해당 공격으로 부터 시스템을 보호할 것을 권고한다.

 

 

5. 대응 방안

1) SMB 서비스 통신 포트(139, 445)를 비활성화 시킨다.

 

2) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 서비스 공격] : 400, SMB Service connect(tcp-445)

 


6. 참고

https://github.com/lgandx/PoC/blob/master/SMBv3%20Tree%20Connect/Win10.py

https://www.cylance.com/redirect-to-smb

https://www.secureworks.com/blog/attacking-windows-smb-zero-day-vulnerability

첨부파일 첨부파일이 없습니다.
태그   SMB  Tree Connect  CVE-2017-0016