2022년 9월, Microsoft는 SPNEGO NEGOEX의 정보 공개 취약점(CVE-2022-37958)에 패치를 적용했습니다. 12월 13일, Microsoft는 IBM® Security X-Force Red 보안 연구원 Valentina Palmiotti가 이 취약점이 공격자가 원격으로 코드를 실행할 수 있게 할 수 있다는 사실을 발견한 후 이 취약점을 "치명적" 심각성으로 재분류했습니다.

이 취약점은 클라이언트와 서버가 사용할 보안 메커니즘을 협상할 수 있도록 하는 SPNEGO Extended Negotiation(NEGOEX) 보안 메커니즘에 있습니다. 이 취약점은 광범위한 프로토콜에 영향을 미치는 사전 인증 원격 코드 실행 취약점입니다. 또한 웜이 될 가능성이 있습니다.

이 취약성으로 인해 공격자는 기본적으로 SMB(서버 메시지 블록) 또는 RDP(원격 데스크톱 프로토콜)와 같이 인증하는 Windows 애플리케이션 프로토콜을 통해 NEGOEX 프로토콜에 액세스하여 임의의 코드를 원격으로 실행할 수 있습니다. 영향을 받는 프로토콜의 이 목록은 완전하지 않으며 SPNEGO 인증 협상이 활성화된 경우 SMTP(단순 메시지 전송 프로토콜) 및 하이퍼 텍스트 전송 프로토콜(HTTP)을 포함하여 SPNEGO가 사용 중인 모든 곳(예: Kerberos 또는 Net-NTLM 인증과 함께 사용)에 있을 수 있습니다.

EternalBlue가 악용하고 WannaCry 랜섬웨어 공격에 사용된 취약점(CVE-2017-0144)이 SMB 프로토콜에만 영향을 미친 것과 달리, 이 취약점은 더 광범위한 범위를 가지며 공개 인터넷(HTTP, RDP, SMB) 또는 내부 네트워크에 노출된 서비스의 공격 표면이 더 넓기 때문에 더 다양한 Windows 시스템에 영향을 미칠 가능성이 있습니다. 이 취약점은 대상 시스템에서 피해자의 사용자 상호 작용이나 인증을 요구하지 않습니다.

Microsoft는 이 취약점을 '심각'으로 분류했으며, 성공적인 악용을 위해서는 여러 번 시도해야 할 수 있으므로 '악용 복잡성'을 제외하고 모든 카테고리를 최대 심각도로 평가했습니다. 이로써 전체 CVSS 3.1 점수는 '8.1'이 되었습니다. 기본 구성에 패치가 적용되지 않은 시스템은 취약합니다.

책임 공개 정책의 일환으로 X-Force Red는 Microsoft와 협력하여 이 재분류를 진행했습니다. 방어자에게 패치를 적용할 시간을 주기 위해 IBM은 2023년 2분기까지 전체 기술 세부 정보를 공개하지 않습니다.

권장 사항

SPNEGO의 광범위한 사용으로 인해 사용자와 관리자는 모든 잠재적인 공격 벡터로부터 보호하기 위해 즉시 패치를 적용하는 것이 좋습니다. 이 수정 사항은 2022년 9월 보안 업데이트에 포함되어 있으며 모든 시스템 Windows 7 이상에 영향을 미칩니다.

X-Force Red의 추가 권장 사항은 다음과 같습니다.

  • SMB, RDP 등 어떤 서비스가 인터넷에 노출되는지 검토하세요.
  • Windows 인증이 활성화된 Microsoft IIS HTTP 웹 서버를 포함하여 공격 표면을 지속적으로 모니터링합니다.
  • Windows 인증 공급자를 커버로스 또는 Net-NTLM으로 제한하고 패치를 적용할 수 없는 경우 기본 공급자에서 "협상"을 제거합니다.

여기에서 IBM X-Force Red 적대적 시뮬레이션 서비스에 대해 자세히 알아보세요.

X-Force와 상담 예약을 하려면 여기를 클릭하세요.

