원문은 SRD 블로그의 MS10-054: Exploitability Details for the SMB Server Update 입니다.

이번 달 마이크로소프트는 SMB 서버 구성요소에서 발견된 3개의 취약점에 대한 보안 업데이트를 배포했습니다. 2개는 서비스 거부 공격이 가능한 취약점이고, 1개는 잠재적으로 원격 코드 실행이 가능한 취약점(CVE-2010-2550)입니다. 이 글에서는 왜 실제 안정적인 원격 코드 실행 공격이 어려운지 설명합니다.

이미 보안 공지에서 언급되었다시피, 윈도우 비스타, 윈도우 7, 윈도우 서버 2003, 윈도우 서버 2008, 윈도우 서버 2008 R2 운영체제는 기본적으로 인증되지 않은 사용자의 공격으로부터 안전합니다. 대부분의 공격 시나리오에서는 인증이 필요합니다.

취약점 세부사항

CVE-2010-2550을 익스플로잇하려면 대상 시스템의 SMB 공유에 대한 읽기 권한을 반드시 가지고 있어야 합니다. 이는 공격자가 이미 사용자 인증을 거쳤거나, 네트워크 공유가 익명 접근을 허용하는 상태라는 것을 의미합니다. (이는 윈도우 XP에서만 기본 설정입니다.)

공격자는 읽기 권한을 가진 상태로 공격 대상에게 조작된 SMB 패킷을 보내야만 커널 풀 블록(kernel pool block)이 덮어씌워지도록 유도할 수 있습니다. 이는 메모리 할당 요청을 할 때 공격자가 제공한 크기 값이 그대로 사용되기 때문입니다. 만약 공격자가 작은 크기 값을 주게 되면, 시스템은 할당된 버퍼에 인접한 풀 블록을 덮어쓰게 됩니다. 이 때 덮어씌워지는 데이터로 대상 시스템의 디스크나 파일시스템에 존재하는 데이터를 이용할 수 있습니다.

익스플로잇 세부사항

공격자가 이 취약점을 공략할 수 있다고 가정하더라도, 아래와 같은 사항들 때문에 안정적으로 익스플로잇하는 것이 어렵습니다.

• 윈도우 7과 윈도우 2008 R2 운영체제는 커널 내부에 풀 오버런 익스플로잇에 대응할 수 있는 방안을 갖추고 있기 때문에 원격에서 공격하는 것이 매우 어렵습니다. (Safe Unlinking in the Kernel Pool 참조)
• 커널 풀 블록에 쓰여지는 데이터가 공격자가 쉽게 제어할 수 있는 부분이 아니라 대상 시스템의 디스크 혹은 파일시스템에서 오게 되어있습니다. 원격 공격 시에 공격자의 의도에 맞는 정확한 값을 찾기란 어렵습니다. 다만, 로컬 공격의 경우라면 위치 제어가 가능하므로 로컬 권한 상승에 악용할 수 있겠습니다.
• 익스플로잇에 실패하는 경우 시스템 충돌(블루스크린)이 발생하므로 익스플로잇 기회는 단 한 번 밖에 없습니다.

이상의 이유로 이 취약점을 악용하여 원격 코드 실행하는 것은 어려울 것이고, 이보다는 서비스 거부 공격의 발생 가능성이 높을 것으로 예상됩니다. 로컬 권한 상승은 가능하나, 이 취약점을 이용한 웜이 퍼질 가능성은 매우 낮습니다.

MS10-047 (중요) - 윈도우 커널 권한 상승 취약점

윈도우 커널의 취약점을 이용한 로컬 권한 상승이 가능합니다. 아래 3개의 취약점을 패치합니다.

• 윈도우 커널 데이터 초기화 취약점 (CVE-2010-1888)
  특정 스레드 생성을 처리할 때 나타나는 경쟁 조건(race condition)을 이용한 권한 상승이 가능합니다.
• 윈도우 커널 더블 프리 취약점 (CVE-2010-1889)
  오류 처리 도중 개체를 초기화 할 때 권한 상승이 가능한 취약점이 존재합니다.
• 윈도우 커널 유효성 검사 취약점 (CVE-2010-1890)
  커널 개체의 액세스 제어 목록을 대상으로 유효성 검사를 수행하는 부분에 서비스 거부 공격이 가능한 취약점이 존재합니다.

MS10-048 (중요) - 윈도우 커널 모드 드라이버의 권한 상승 취약점

win32k.sys에서 발견된 아래 5개의 취약점을 패치합니다.

• Win32k 경계 검사 취약점 (CVE-2010-1887)
  시스템 호출에 전달된 인수에 대한 유효성 검사가 부적절하여 서비스 거부 공격이 가능한 취약점이 발생하였습니다.
• Win32k 예외 처리 취약점 (CVE-2010-1894)
  특정 예외를 처리할 때 권한 상승이 가능한 취약점입니다.
• Win32k 풀 오버플로우 취약점 (CVE-2010-1895)
  사용자 모드에서 데이터를 복사할 때 메모리를 제대로 할당하지 못하여 권한 상승이 가능한 취약점입니다.
• Win32k 사용자 입력 유효성 검사 취약점 (CVE-2010-1896)
  사용자 모드에서 전달된 입력의 유효성을 적절하게 검증하지 못하여 발생한 권한 상승 취약점입니다.
• Win32k 창 생성 취약점 (CVE-2010-1897)
  새 창을 만들 때 모든 매개 변수의 유효성을 적절하게 검증하지 못하여 발생한 권한 상승 취약점입니다.

MS10-049 (긴급) - SChannel의 원격 코드 실행 취약점

사용자가 악성 웹사이트를 방문하는 경우 공격 받을 수 있습니다.

• TLS/SSL 재협상 취약점 (CVE-2009-3555)
  TLS 프로토콜 (RFC2246) 구현의 스푸핑 취약점을 이용하여 인증된 클라이언트에게 변조 공격을 시도할 수 있습니다. 다만 IIS 6.0 이상의 기본 설치의 경우는 클라이언트에서 시작되는 TLS/SSL 재협상을 허용하지 않으므로 취약하지 않습니다. IIS 대신 프록시 등을 거치게 되는 경우 취약할 수 있습니다.
• SChannel 조작된 형식의 인증서 요청 원격 코드 실행 취약점 (CVE-2010-2566)
  클라이언트가 서버에게 보낸 인증서 요청 메시지를 검증할 때 원격 코드 실행이 가능한 취약점이 존재합니다.

MS10-050 (중요) - 윈도우 무비 메이커의 원격 코드 실행 취약점

• 무비 메이커 메모리 손상 취약점 (CVE-2010-2564)
  조작된 무비 메이커 프로젝트 파일을 열게 되면 원격 코드 실행이 발생할 수 있습니다.

MS10-051 (긴급) - XML 코어 서비스의 원격 코드 실행 취약점

• MSXML2.XMLHTTP 3.0 응답 처리 메모리 손상 취약점 (CVE-2010-2561)
  MSXML이 HTTP 응답을 처리하는 부분에 원격 코드 실행이 가능한 취약점이 존재합니다. 악성 웹사이트를 방문하거나 조작된 HTML 메일 본문을 열게 될 경우 공격 받을 수 있습니다.

MS10-052 (긴급) - MPEG Layer-3의 원격 코드 실행 취약점

조작된 미디어 파일이나 조작된 스트리밍 컨텐츠를 받을 경우 원격 코드 실행이 발생할 수 있습니다.

• MPEG Layer-3 오디오 디코더 버퍼 오버플로우 취약점 (CVE-2010-1882)
  DirectShow MP3 필터에서 지원되는 형식의 파일을 처리하는 부분에 원격 코드 실행 취약점이 존재합니다. 조작된 오디오 파일을 열 경우 공격받을 수 있습니다.

MS10-053 (긴급) - 인터넷 익스플로러 누적 보안 업데이트

아래 6건의 취약점이 패치되었습니다. 악성 웹사이트를 방문하는 경우 공격받을 수 있습니다.

• 이벤트 처리기 도메인 간 취약점 (CVE-2010-1258)
  스크립트가 다른 도메인이나 인터넷 익스플로러 영역에서 브라우저 창에 접근하는 것을 허용하는 정보 유출 취약점이 존재합니다.
• 초기화되지 않은 메모리 손상 취약점 (CVE-2010-2556)
• 초기화되지 않은 메모리 손상 취약점 (CVE-2010-2557)
• 경쟁 조건 메모리 손상 취약점 (CVE-2010-2558)
• 초기화되지 않은 메모리 손상 취약점 (CVE-2010-2559)
• HTML 레이아웃 메모리 손상 취약점 (CVE-2010-2560)

MS10-054 (긴급) - SMB 서버의 원격 코드 실행 취약점

• SMB 풀 오버플로우 취약점 (CVE-2010-2550)
  조작된 SMB 패킷을 이용하여 원격 코드 실행 공격이 가능합니다.
• SMB 변수 유효성 검사 취약점 (CVE-2010-2551)
  조작된 SMB 패킷을 이용하여 서비스 거부 공격이 가능합니다.
• SMB 스택 부족 취약점 (CVE-2010-2552)
  조작된 SMB 패킷을 이용하여 서비스 거부 공격이 가능합니다.

MS10-055 (긴급) - Cinepak 코덱의 원격 코드 실행 취약점

• Cinepak 코덱 압축 해제 취약점 (CVE-2010-2553)
  Cinepak 코덱에서 지원하는 형식의 파일을 처리하는 부분에 원격 코드 실행 취약점이 있습니다.

MS10-056 (긴급) - 오피스 워드의 원격 코드 실행 취약점

조작된 워드 파일을 열게 되면 공격 받을 수 있습니다.

• 워드 레코드 파싱 취약점 (CVE-2010-1900)
• 워드 RTF 파싱 엔진 메모리 손상 취약점 (CVE-2010-1901)
• 워드 RTF 파싱 버퍼 오버플로우 취약점 (CVE-2010-1902)
• 워드 HTML 연결된 개체 메모리 손상 취약점 (CVE-2010-1903)

MS10-057 (중요) - 오피스 엑셀의 원격 코드 실행 취약점

조작된 엑셀 파일을 열게 되면 공격 받을 수 있습니다.

• 엑셀 메모리 손상 취약점 (CVE-2010-2562)

MS10-058 (중요) - TCP/IP 권한 상승 취약점

IPv6 패킷 처리와 사용자 모드 데이터 처리 부분에 권한 상승 취약점이 존재합니다.

• IPv6 메모리 손상 취약점 (CVE-2010-1892)
  잘못된 형식의 확장 헤더를 갖는 특수하게 조작된 IPv6 패킷을 처리할 때 오류가 발생하면서 서비스 거부가 발생합니다.
• 윈도우 네트워킹의 정수 오버플로우 취약점 (CVE-2010-1893)
  TCP/IP의 특정 입력 버퍼 처리 시 오류로 인한 권한 상승 취약점이 존재합니다. 사용자 모드에서 복사된 데이터를 제대로 처리하지 못해서 발생한 취약점입니다.

MS10-059 (중요) - 서비스 추적 기능의 권한 상승 취약점

• 추적 레지스트리 키 ACL 취약점 (CVE-2010-2554)
  서비스 추적 기능의 레지스트리 키에 잘못된 액세스 제어 목록(ACL)을 배치할 경우 권한 상승 취약점이 발생합니다.
• 추적 메모리 손상 취약점 (CVE-2010-2555)
  레지스트리에서 특수하게 조작된 긴 문자열을 처리할 때 메모리 할당 오류로 인해 권한 상승이 가능해집니다.

MS10-060 (긴급) - .NET CLR 및 실버라이트의 원격 코드 실행 취약점

악성 웹사이트를 방문할 경우 공격 받을 수 있습니다. 업로드 취약점이 있는 경우 ASP.NET 실행으로 닷넷 취약점을 공략하는 방식으로 웹 서버가 공격 받을 수도 있습니다.

• 실버라이트 메모리 손상 취약점 (CVE-2010-0019)
  특수하게 조작된 실버라이트 코드를 파싱하다가 실버라이트가 더 이상 응답하지 않게 되거나 코드가 실행되도록 하는 메모리 손상이 발생할 수 있습니다.
• 실버라이트 및 .NET CLR 가상 메소드 대리자 취약점 (CVE-2010-1898)
  특수하게 조작된 닷넷 응용 프로그램이나 실버라이트 응용 프로그램이 메모리에 액세스할 수 있도록 하여 네이티브 코드를 임의로 실행하도록 허용하는 원격 코드 실행 취약점이 존재합니다.

내일 새벽(현지 시각으로 8월 2일 10시 경)에 LNK 취약점을 해결하는 보안 업데이트가 배포될 예정입니다. 다만 이전에 언급한대로 지원이 중단된 윈도우 XP SP2 이하 버전은 패치 대상이 아니므로 이 경우는 XP SP3으로 업데이트가 필요합니다. 원문은 Out of Band Release to address Microsoft Security Advisory 2286198 을 참고하시기 바랍니다.