사이버 보안 회사 인 ZecOps 는 공격자가 원격으로 커널 메모리 유출 할수 있는 SMB 프로토콜 에 영항을 주는 취약점 발견 이전에 공개된 웜 과 취약점과 결합해시 원격코드 실행 공격 가능하게 됩니다.
SMBleed (CVE-2020-1206) 이라고 명명된 이 취약점은 SMB 압축해제 기능 있으며 3개월 전에 밝혀진 SMBGhost 와 EternalDarkness (CVE-2020-0796) 에 존재 했던거와 비슷한 기능입니다..
새로 발견된 취약점은 윈도우 10 1903, 1909 에 영향을 미치며 MS에서는 6월 보안패치 일부로 해당 취약점 보안하는 패치를 배포 되었습니다.
예전에 CISA는 SMBGhost 버그에 대한 익스플로잇 코드가 온라인에 게시된우 윈도우 10 사용자가 업데이트 경고를 권고 하는 발표에 따라 개발이 되었습니다..
기존에 비슷한 기능이였던 SMBGhost 는 매우 심각한 위협을 가할수 있는 심각도 점수 10점 만점에 만점을 달성한 취약점입니다..
해당취약점은 2020년 3월에 공개되었지만 여려 보고서에 따르면 공격자들이 새로운 PoC 통해 패치되지 않는 시스템 을 노리고 있다고 밝혀졌습니다.
취약점 분석정보에 따르면 이 취약점은 "Srv2DecompressData" 압축 해제 기능이 타깃 SMBv3 서버로 전송하여 공격자라 초기화 되지 않는 커널 메모리 읽고 압축기능을 수정할수 있도록 하고 있습니다.
SMB 구조에는 헤더를 명시하나 가변길이 버퍼는 초기화 되지 않는 데이터 생성이 가능합니다 취약점 약용하기 딱좋은 조건이기도 합니다.
이취약점 악용 공격한 공격자는 시스템을 패닉에 가까울정도의 손상을 시킬수 있는 정보를 얻을수 있습니다. 취약점을 악용하기 위해 인증되지 않는 공격자는 특수하게 조작된 패킷 을 SMBv3 서버로 보내 인증 할수있다고 합니다..
또한 보안패치가 되지 않는 윈도우 10 시스템에서 SMBleed와 SMBGhost가 함께 악용될 경우 원격코드 실행이 가능합니다.
취약점을 완화 할려면 최대한 빨리 업데이트 하는것이고
그게 아니면 TCP 445 차단해야 합니다.
그게 아니면 SMB 3.1.1 압축기능을 끄는건데 딱히.. 추천하지 않습니다.