윈도우 7과 서버 2008의 SMB 제로 데이 취약점 분석

2009년 11월 11일 마이크로소포트(Microsoft)에서 개발한 운영체제인 윈도우 7(Windows 7)과 윈도우 서버 2008(Windows Server 2008)에서 SMB(Server Message Block) 프로토콜로 인한 시스템 크래쉬(System Crash) 제로 데이(0-Day, Zero Day) 취약점이 발견되었다.

이 번에 발견된 제로 데이 취약점과 관련해 마이크로소프트에서도

해당 SMB 제로 데이 취약점은 2009년 9월 9일 ASEC에서 공개한 마이크로소프트 SMB 서비스 원격 코드 실행 취약점 발견과 유사한 형태를 가지고 있으며 해당 취약점에 대한 공격이 성공하게 될 경우 BSOD(Blue Screen of Death)가 발생하게 된다.

지난 2009년 9월 알려진 윈도우 비스타(Windows Vista) SMB 취약점의 경우 SMB2 Request (with ProcessID = 0x00)가 원인이 되었다.

 

이 번에 알려진 취약점의 파이썬(python)으로 제작된 PoC(Proof of Concept) 코드를 이용해 ASEC에서 실제 구현 및 테스트에서는 위 이미지에서와 같이 조작된 패킷(Packet)의 길이가 실제 패킷보다 4 바이트 작은 SMB2(SMB1) Reponse 가 원인이 되어 블루 스크린(Blue Screen)이 발생하는 것으로 분석하고 있다.
해당 취약점에 대한 PoC를 통한 검증 및 테스트를 종합 해볼 때 해당 SMB 제로 데이 취약점은 임의의 코드를 실행하기보다는 시스템 크래쉬만을 유발 함으로 해당 취약점을 악용하여 전파를 노리는 악성코드의 제작은 어려울 것으로 예측 된다.

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments