[Windows] 공유 폴더 취약점 대응

개요

Windows 운영 체제는 관리 목적으로 기본적으로 다음과 같은 공유 폴더를 설정합니다:

• C$ & D$: 각 드라이브에 대한 관리 목적.
• ADMIN$: Windows 설치 폴더에 접근하기 위한 관리 목적.
• IPC$: 네트워크의 프로세스 및 응용 프로그램 간 통신 및 관리를 위한 특수 공유 폴더.

특히 IPC$ 공유 폴더는 “Null 세션 연결"로 알려져 있으며, 익명 사용자가 네트워크 계정 및 공유 정보를 열람하거나 시스템을 악용할 수 있는 취약점이 존재합니다. 적절한 보안 설정이 이루어지지 않으면 공격자가 이를 통해 무단 액세스하거나 Windows 네트워크를 공격할 수 있습니다.

주요 취약점

1. 널 세션(Null Session) 취약점 (CVE-2002-1117)

• 취약 버전: Windows NT 4.0 및 이전 버전 / NetBIOS 프로토콜 사용 버전.
• 문제점: IPC$ 공유를 통해 인증 없이 시스템에 접속 가능.
  • 공격자는 사용자 계정을 탈취하거나 레지스트리에 무단으로 접근할 수 있습니다.

2. MITER ATT&CK: 원격 서비스 SMB/Windows 관리자 공유 [T1021.002]

• 공격 경로: IPC$ 공유를 악용해 원격 명령 실행 및 네트워크 이동 가능.
• 위협성: IPC$ 취약점이 존재하면 악성 도구를 통해 네트워크 정보를 열람하거나 시스템 간 이동 및 명령 실행이 가능합니다.

대응 방법

1. 공유 폴더를 사용하지 않는 경우

관리 공유 폴더(C$, D$ 등) 비활성화

• 관리 공유 폴더를 비활성화하여 외부 접근을 차단합니다.

위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
키: AutoShareWks
값: REG_DWORD = 0

2. Null 세션 제거하기 (IPC$)

• IPC$ 공유(Null 세션 연결)는 익명 사용자가 도메인 계정 및 네트워크 공유 이름을 열람하거나 악용할 수 있습니다.
• IPC$ 자체는 제거할 수 없으므로 Null 세션 연결을 차단하는 방법으로 대응해야 합니다.

설정 방법:

• 레지스트리 위치:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
• 설정 값:
  restrictanonymous 키를 REG_DWORD 타입의 1로 변경 (기본값: 0).

3. 공유 폴더를 사용하는 경우의 대응 방안

1. 최신 보안 업데이트 및 패치 적용

• 운영 체제 및 관련 서비스의 보안 업데이트를 정기적으로 적용하여 취약점을 해결합니다.

2. 방화벽 구성

• 시스템 방화벽을 설정하여 악의적인 액세스를 차단합니다.
• SMB 포트(445)를 차단하거나 허용된 IP만 접근 가능하도록 설정합니다.

3. 사용자 및 권한 관리

• 사용자 계정 및 권한을 적절히 관리하여 불필요한 접근을 제한합니다.

4. 보안 소프트웨어 사용

• 악성 행위를 탐지하고 차단할 수 있는 안티바이러스 및 보안 소프트웨어를 설치하고 유지합니다.

참고 자료

• MITER ATT&CK: 원격 서비스 SMB/Windows 관리자 공유
• CVE-2002-1117 정보
• Windows IPC$ Null Session 관련 정보
• 보안 관련 추가 정보 - 블로그