독일회사 ‘SerNet’이 윈도우 파일서버와 삼바(Samba)에 중요한 취약점이 있다고 밝혔을 때, 많은 이들이 이 소식에 대해 비웃었다. 그것이 Samba에 대한 버그를 알린 회사의 자기홍보에 지나지 않는다고 생각했다. 그러나 해당 취약점은 실제로 굉장히 위험하다.
 
구글의 스토리지/오픈소스 엔지니어이자 시니어 Samba개발자인 Jeremy Allsion은 “이것은 프로토콜 레벨의 취약점이다. MS-SAMR과 MS-LSAD은 둘다 MITM(man in the middle, 중간자공격)에 취약하다. 둘 모두 DCE 1.1 리모트 프로시져 호출 프로토콜에 기반한 어플리케이션 레벨 프로토콜이다”라고 설명했다.
 
그는 또 “이것은 정말 위험하고 이용자들은 무조건 패치해야 한다. 이 RPC(원격 프로시저 호출) 서비스를 운영하고 있는 누구나 영향을 받는다. 윈도우 NT로 돌아가는 디자인 결정 때문에, 모든 싱글 파일 서버는 그것을 사용해야 하고, 그들은 모두 패치 되어야만 한다. 또한 RPC들이 원격 관리자 접속을 위해 꽤 많이 사용되기에, 모든 윈도우와 삼바서버들이 취약하다”고 말했다.
 
정확하게 말해, Badlock은 Microsoft Active Directory에 대해 인증된 사용자로 속이는 MITM 공격이 가능케 하는 프로토콜 취약점이다. Samba의 모든 버전이 이 공격에 취약하다. 만약 익스플로잇된다면, 공격자는 SAM(보안 계정 관리자) 데이터 베이스에 읽기/쓰기 접근할 수 있고, 잠재적으로 모든 사용자 패스워드나 민감한 정보가 유출될 수 있다.
 
더 나아가 이 프로토콜들은 Samba서버 뿐만 아니라 모든 형태의 윈도우즈 설치에서 이용 가능하다. 그들은 SAM 데이터베이스를 유지하는데 사용되기도 한다. 당신이 당신의 서버를 어떻게 돌리느냐는 중요하지 않다. 그것은 standalone 모드일수도, domain member일수도, AD domain controller일 수도 있다. 어떻게 서버를 운영하건, 공격받을 수 있다는 것이다.
 
CVE에 따르면 클라이언트가 선택한 어플리케이션 프로토콜, 인증 타입(Keberos, NTLMSSP), 인증레벨(NONE, CONNECT, PKT_INTEGRITY, PKT_PRIVACY)는 이 경우에 문제되지 않는다. 중간자가 인증레벨을 CONNECT(메세지 보호 없는 인증을 의미)로 변화시킬 수 있고, 연결을 가져올 수 있다.
 
SAM을 공격하는데 사용되는 것 외에도, 그것은 또한 DCE-RPC클라이언트와 서버 구현에 대한 DoS공격에 사용될 수도 있다. 그것은 모든 가능한 서버롤에서 Samba에 대해 사용될 수 있다. Samba의 경우 이 공격에 3.6.0에서 4.4.0 버전까지 취약하다.
 
마이크로소프트는 “이 보안 업데이트는 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10의 모든 에디션에서 중요하게 여겨지고 있다”라고 이야기했다. 그러나 그들은 이제는 지원하지 않는 이전버전에 대해서는 특별한 언급을 하지 않았다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 페소아(fesoa) 기자 mkgil@dailysecu.com