조직 보안 기능 비활성화, 도메인 장악 등 다양한 공격 가능해
글로벌 보안 기업 트렌드마이크로가 마이크로소프트 윈도우 ‘넷로그온’에서 보안 위협을 초래하는 제로로그온(Zerologon) 취약점을 탐지했다. 취약점이 악용될 경우 조직의 보안 기능 비활성화, 암호 변경 및 도메인 장악 등 다양한 공격 시도가 가능해져 관련 시스템의 최신 패치가 필요한 상황이다.
이번 취약점은 윈도우 2008 R2 버전 이상의 넷로그온의 암호화 알고리즘을 악용하며, 도메인 컨트롤러에 대한 인증을 시도할 때 컴퓨터의 ID를 우회할 수 있다. 또한 넷로그온 리모트 프로토콜(MS-NRPC)의 취약점을 이용해 네트워크상의 디바이스에서 애플리케이션을 실행하고, 도메인 컨트롤러에 접근해 관리 액세스까지 획득할 수 있다.
특히 이번 취약점이 심각한 이유는 공격이 단 3초 만에 실행될 수 있을 정도로 악용이 간단하다는 점이다. 트렌드마이크로는 예방을 위해 모든 시스템의 마이크로소프트 최신 보안 업데이트를 진행해야 한다고 밝혔다.
또 제로로그온 취약점 공격은 원격으로 시행될 수 없기 때문에 공격자가 네트워크 도메인에 접근할 수 없도록 물리적 및 원격 네트워크 엑세스 보안 강화가 필수적이며, 공격자가 다른 취약점을 이용해 네트워크에 접근하거나 내부 관계자를 통해 네트워크 액세스 승인을 받을 경우에도 대비해야 한다고 강조했다.
트렌드마이크로 관계자는 “이번 제로로그온 취약점은 공격자가 조직의 도메인 컨트롤러를 장악해, 조직 전체에 랜섬웨어를 배포하는 등 더욱 다양한 공격을 가능하게 한다”며 “현재 트렌드마이크로의 가상 패치를 통해, 마이크로소프트가 공식 패치를 내놓기 이전에 대응이 가능하다”고 밝혔다.
