아시다시피, 수많은 랜섬웨어 공격 이후 Microsoft는 Windows OS에서 기본적으로 SMBv1을 비활성화하기로 결정했습니다.
그러나 패치를 발표했음에도 불구하고(MS17-010) 이러한 공격을 해결하기 위해마이크로소프트는 여전히 옹호한다~ 아니다그것을 사용하여.
더욱 혼란스러운 점은 위에 링크된 패치가 클라이언트가 아닌 SMBv1 서버에만 적용되는 것 같다는 것입니다.
이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 이 중에서 가장 심각한 취약성은 공격자가 특수 제작된 메시지를 Microsoft SMBv1(서버 메시지 블록 1.0)에 보낼 경우 원격 코드 실행을 허용할 수 있습니다.섬기는 사람.
제 경우에는 Windows 10 컴퓨터에서 SMBv1 클라이언트를 사용하여 SMBv1만 지원하고 인터넷에 직접 연결된 모뎀/라우터에 연결된 네트워크 하드 드라이브에 액세스해야 합니다.
패치가 SMBv1 서버와 클라이언트 취약점을 모두 해결한다고 가정하더라도 여전히 SMBv1을 사용하지 않는 것이 좋습니다.
패치를 적용한 후에 실제로 심각한 위험에 직면하게 됩니까?
답변1
SMBv1의 보안 문제는 프로토콜 설계상의 실수이므로 Microsoft가 SMBv1을 차단하는 방법을 찾았더라도특정한지금까지 발견된 공격에 대해 블록을 회피할 수 있는 새로운 변형이 계속 개발될 수 있습니다.
SMBv1을 계속 사용하려고 하면 맬웨어 작성자를 상대로 두더지 잡기 게임이 발생하여 모든 사람이 새로운 공격을 찾아내고 패치가 나타나자마자 서둘러 패치를 만들고 적용해야 합니다. SMBv1이 널리 사용되는 한 새로운 공격의 흐름은 계속될 것입니다.
Microsoft는 WannaCry 웜이 SMBv1 약점을 이용해 산불처럼 확산되었을 때 이미 SMBv1에 대한 지원 중단 일정을 발표했습니다. 그래서 Microsoft는 사용 중단 일정을 가속화하여 문제를 해결하기로 결정했습니다. 그러면 취약점의 근본 원인이 완전히 제거됩니다.
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
SMB1은 안전하지 않습니다
SMB1을 사용하면 이후 SMB 프로토콜 버전에서 제공하는 주요 보호 기능이 손실됩니다.
- 사전 인증 무결성(SMB 3.1.1+). 보안 다운그레이드 공격으로부터 보호합니다.
- 보안 방언 협상(SMB 3.0, 3.02). 보안 다운그레이드 공격으로부터 보호합니다.
- 암호화(SMB 3.0+). MiTM 공격으로 유선상의 데이터 검사를 방지합니다. SMB 3.1.1에서는 암호화 성능이 서명보다 훨씬 뛰어납니다!
- 안전하지 않은 게스트 인증 차단(Windows 10 이상에서는 SMB 3.0 이상). MiTM 공격으로부터 보호합니다.
- 향상된 메시지 서명(SMB 2.02+). HMAC SHA-256은 SMB 2.02, SMB 2.1의 해싱 알고리즘인 MD5를 대체하고 AES-CMAC는 SMB 3.0+의 해싱 알고리즘을 대체합니다. SMB2 및 3의 서명 성능이 향상됩니다.
불쾌한 점은 이러한 모든 항목을 어떻게 보호하더라도 클라이언트가 SMB1을 사용하는 경우 중간자(man-in-the-middle)가 클라이언트에게 다음을 지시할 수 있다는 것입니다.위의 내용을 모두 무시. 그들이 해야 할 일은 스스로 SMB2+를 차단하고 서버 이름이나 IP에 응답하는 것뿐입니다. 처음에 SMB1을 방지하기 위해 해당 공유에 암호화를 요구하지 않는 한 클라이언트는 기꺼이 SMB1을 삭제하고 가장 어두운 비밀을 모두 공유합니다. 이것은 이론적인 것이 아닙니다. 우리는 그것을 보았습니다.
이 인용문은 이 글을 쓰는 당시 Microsoft의 SMB 프로토콜 소유자인 Ned Pyle이 작성한 것입니다. 그래서 그것은 당신이 얻을 수 있는 한 말의 입에서 나온 것입니다.