윈도우 제로 로그온

윈도우 제로 로그온

 

윈도우 제로 로그온 패치

 

 

 

9 월 18 일 금요일, 미국 CISA (Cybersecurity and Infrastructure Security Administration)는 모든 연방 기관에 Windows Server에 영향을 미치는 심각한 취약성과 Windows 네트워크를 도용하는 해커의 위험을 수정하기위한 패치를 설치하도록 지시했습니다.8 월부터는 Zerologon이라는 취약점 패치가 있었지만 최근에 공개 된 기술적 세부 사항은 해커가 공격하기 쉽게 만듭니다.

Microsoft의 원래 패치 노트의 취약점을 악용 할 가능성이 낮기 때문에 조직에서 아직 패치를 구현하지 않은 경우 지금 설치해야합니다.

 

 

 

윈도우 제로 로그온

제로 로그인 (CVE-2020-1472로 추적 됨)은 Windows에서 도메인 기반 네트워크에서 사용자와 컴퓨터를 인증하는 데 사용하는 RPC (원격 프로 시저 호출) 인터페이스 인 MS-NRPC (Netlogon Remote Protocol)에 의해 인증됩니다. 이것은 우회 허점입니다. 도메인 구성원과 DC (도메인 컨트롤러) 간의 관계 유지, 하나 이상의 도메인에있는 여러 도메인 컨트롤러 간의 관계 유지, 도메인 컨트롤러 데이터베이스 복제와 같은 특정 작업을 위해 설계되었습니다.

netlogon의 기능 중 하나는 컴퓨터가 도메인 컨트롤러에 대해 인증하고 Active Directory에서 암호를 업데이트하여 로그인 취약점이 전혀 발생하지 않도록하는 것입니다. 특히이 취약점을 악용하면 공격자가 도메인 컨트롤러를 가장하고 해당 암호 (도메인 컨트롤러의 자체 암호 포함)를 변경할 수 있습니다.

이는 공격자에게 도메인 컨트롤러 및 네트워크에 대한 관리 액세스 및 완전한 제어 권한을 제공합니다.제로 로그인은 권한 상승 취약점으로, Microsoft는 초기 권장 사항에서 공격을받을 가능성이 낮다고 말했지만 Microsoft는이를 치명적이라고 간주합니다. 공격자가 Windows 네트워크에 침투 할 수있는 취약점은 아니지만 양쪽으로 이동하는 2 단계 공격으로 매우 가치가 있습니다.

 

윈도우 제로 로그온 취약점

 

네덜란드 보안 회사 인 Secura의 연구원들은 지난주 취약점을 발견하고 취약점의 원인과 작동 방식을 자세히 설명하는 백서를 게시했습니다. MS-NRPC의 핸드 셰이크 및 인증에는 AES-CFB8 (8 비트 암호 피드백) 모드 사용이 포함됩니다. 이것은 일반 16 바이트 (128 비트) 대신 8 바이트 입력 블록으로 설계된 AES 블록 암호의 더 모호한 변형입니다.

Secura 연구원 인 Tom Turboot는 백서에서 "메시지의 초기 바이트를 암호화 할 수 있으려면 암호화 프로세스를 안내하는 초기화 벡터 (IV)를 지정해야합니다."라고 말했습니다. IV 값은 고유해야하며 동일한 키를 사용하여 암호화해야합니다. 의 각 개별 일반 텍스트는 무작위로 생성됩니다.

그러나 [MS-NRPC 프로토콜] ComputeNetlogonCredential 함수는이 IV가 고정되어 있으며 항상 16 개의 0 바이트로 구성되어야 함을 정의합니다. 이것은 AES-CFB8의 안전한 사용을위한 요구 사항에 위배됩니다. "IV가 무작위 일 때만 보안 속성이 유지됩니다."256 개 키 중 하나의 구현 오류로 인해 Taboot는 AES-CFB8 암호화를 모두 0 인 일반 텍스트에 적용하면 모두 0 인 암호문이 생성된다는 것을 발견했습니다.

MS-NRPC 컨텍스트에서 클라이언트를 시뮬레이트하는 공격자는 제로 8 바이트 핸드 셰이크 동안 챌린지를 보내고 인증을 우회하고 서버가 수락 할 때까지 256 번 재 시도 할 수 있습니다.키 교환 프로토콜에서 핸드 셰이크의 목적은 통신 채널이 보안되기 전에 실제로 암호 또는 비밀 키를 노출하지 않고 연결 보안을 보장하기 위해 두 당사자간에 공유 키를 설정하는 것이기 때문에 전체 프로세스가 단순화됩니다.

이 경우 인증 우회는 공격자가 인증 된 사용자의 실제 암호를 모르더라도 도메인 컨트롤러가 사용자와 통신하고 있다고 믿도록 도메인 컨트롤러를 속일 수 있음을 의미합니다. 이것은 공격 체인의 첫 번째 단계에 불과합니다. 또 다른 단계는 서명 및 봉인 (통신 채널 암호화)을 비활성화하는 것입니다. 이것은 선택 사항이며 서버가 암호화를 요청하지 않는 클라이언트를 거부하지 않기 때문에 클라이언트가 제어 할 수 있습니다.

궁극적으로 공격자는 가장 된 사용자의 암호 변경을 요청할 수 있지만 이렇게하면 컴퓨터 레지스트리에 로컬로 저장된 암호가 아닌 Active Directory의 암호 만 변경됩니다. 도메인 컨트롤러 자체를 가장하고 AD 암호를 변경하면 로컬 암호와 불일치가 발생하여 DC가 응답을 중지하거나 예기치 않은 방식으로 작동을 시작할 수 있습니다.

공격을 완료하고 도메인 관리자 액세스 권한을 얻으려면 추가 단계를 완료해야합니다. 공격자는 MS-NRPC 인증 액세스 권한을 사용하여 로컬에 저장된 암호 해시를 덤프 한 다음 해시 패스 공격을 수행하여 도메인 관리자로 인증하고 로컬 레지스트리에 저장된 DC의 컴퓨터 암호를 변경할 수 있습니다.Tabot은 "암호화 프로토콜의 구현은 까다 롭습니다." "작은 감독으로 계획의 의도 된 기능 (이 경우 : 컴퓨터 인증 및 전송 보안)을 우회하는 방법을 사용할 수 있습니다.

윈도우 제로 로그온 보완계획

"마이크로 소프트는 8 월 패치를 발표했지만 이것은 단계적 릴리스의 첫 번째 부분 일 뿐이며 2021 년 1 분기에 완료 될 것으로 예상된다. 그 이유는 프로토콜 수준의 결함으로, 프로토콜 작동 방식을 변경하고 모든 서버와 클라이언트가 변경 사항을 이해하도록 업데이트되지 않으면 네트워크에 심각한 손상을 줄 수 있습니다.

패치는 여전히 지원되며 보안 업데이트를받는 Windows Server 버전에서만 사용할 수 있지만 실제로 많은 네트워크에는 프로토콜을 사용하여 도메인 컨트롤러와 통신하는 기존 Windows 또는 Windows가 아닌 장치가 있습니다.Microsoft는 알림에서 "이 업데이트는 도메인 컨트롤러 (DC)가 기본적으로 Windows 장치를 보호하고, 호환되지 않는 장치의 사건을 기록하고, 도메인에 가입 된 모든 장치를 보호 할 수 있도록 허용합니다.

두 번째 단계는 2021 년 1 분기에 시작될 예정이며 구현 단계로의 전환을 나타냅니다. DC는 모든 Windows 및 비 Windows 장치가 Netlogon 보안 채널을 사용하여 보안 원격 프로 시저 호출 (RPC)을 결합하거나 호환되지 않는 장치에 대한 예외를 추가하여 계정을 명시 적으로 허용해야하는 필수 모드로 전환됩니다.Tabot은 또한 보안 채널이 내년까지 적용되지 않더라도 패치가 핸드 셰이크 챌린지의 첫 번째 단계로 0을 보내는 것을 방지 할 수 있음을 확인했습니다.

Microsoft의 프로토콜 사양도 다음과 같이 업데이트되었습니다. "클라이언트 챌린지의 처음 5 바이트가 고유하지 않으면 서버는 다음 단계를 처리하지 않고 세션 키 협상이 실패합니다."현재 공격은 8 월 패치를 통해서만 차단되지만 아직 채널 암호화를 지원하지 않는 호환되지 않는 클라이언트가 실패를 방지하기 위해 도메인 컨트롤러와 계속 통신 할 수 있도록 적절한 메커니즘이 설정되었습니다.

이진 파일 용 인 메모리 마이크로 패치를 개발하는 회사의 연구원 인 0patch는 Microsoft의 수정 사항을 리버스 엔지니어링하고 자체 수정 사항을 만들었습니다. 이는 "확장 된 보안"없이 Windows Server 2008 R2에 적용 할 수 있습니다. 최신 정보". . Windows Server 2008 및 2008 R2에 대한 표준 지원은 1 월에 종료되었습니다. 하지만 제로 패치에서 개발 한 마이크로 패치는 소프트웨어 에이전트를 통해 고객에게 지불하는 방식으로 적용됩니다.