개요

SMB v1 트랜잭션을 처리하는 동안 경쟁 조건, 구성요소에서 원격코드 실행 취약점이 존재한다.

 

해당 취약점은

1. SMB 프로토콜의 두번째 필드에 해당하는 Command 필드에 조작된 데이터를 전송하면 서버에서 부적절하게 요청을 처리해서 취약점이 발생 된다.

2. 큰 크기의 요청(SMB 맞지 않는)은 적절한 크기의 트랜잭션으로 변경되게 되는데, 모든 트랜잭션이 수신할 때 까지 트랜잭션에 데이터를 추가하는 작업이 가능하여 발생한다.

 

공격 성공시, 임의의 코드 실행이 가능하다.

 

 

확인 내역
NSA Hacking Tool 에 의해 확인 된 취약점인 MS17-010, SMB 을 이용한 Mestaploit Frame Work 의 최신 모듈이 공개되었습니다.
- ms17_010_psexec.rb, ms17_010_command.rb

 

EternalSynergy, EternalRomance, EternalChampion 을 이용한 해당 모듈은 이전의 EternalBlue 보다 Exploit 성공 가능성이 높습니다.
- 일반적인 Named Pipe 를 모두 스캔하여 Exploit
- 커널 쉘 코드 미사용

 

또한 이전에 불안정 했던 부분을 수정하여 대부분의 Windows 에서 Exploit 되도록 변경하였습니다.

 

[그림1. 공개된 모듈]

 

최신 Kali 버전에서 해당 2가지 모듈을 이용하여 테스트를 진행 하였습니다.
두가지 모듈의 차이점은 ms17_010_psexec 의 경우 Shell 획득이 가능하며, ms17_010_command 의 경우 정의 된 명령어 실행만 가능 합니다.

 

테스트 구성은 아래와 같습니다.

* 192.168.1.247, Kali - [ 공격자 ]로 Metasploit 을 이용하여 ms17_010_psexec.rb, ms17_010_command.rb 모듈 사용
* 192.168.1.248, Windows Server 2008 R2 64bit - [ 피해자 ] 로 SMB 활성화 및 외부에 공유 설정되어 있는 상태

 

[ms17_010_psexec] Shell 획득 후 현재 경로 확인 명령어를 실행

 

[그림2. ms17_010_psexec.rb 테스트 내역]

 

[ms17_010_command] 도메인 관리자 목록 확인 명령어를 실행

 

[그림3. ms17_010_command.rb 테스트 내역]

 

 

WannaCry , Badrabbit 랜섬웨어 부터 최근에는 Miner 악성코드에도 사용되고 있는 MS17-010 취약점이므로 주의가 필요합니다.

 

대응 방안
1) 외부에 SMB 포트를 오픈하지 않는다.

 

2) 벤더사에서 제공하는 패치를 이용한다.

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

 

3) 당사 Sniper 에서는 아래의 패턴으로 대응 가능하다

 

참조
https://github.com/rapid7/metasploit-framework/pull/9473