[보안이슈] NEGOEX / 원격 코드 실행 취약점(CVE-2022-37958) 점검

IT/Windows / / 2023. 1. 16. 10:24
반응형

안녕하세요 유똥입니다.

최근 Windows 운영 체제의 SPNEGO NEGOEX 프로토콜에서 RCE(원격 코드 실행) 취약점이 확인 되었습니다.
해당 취약점 점검 및 조치관련하여 포스팅 진행하겠습니다.

 

 작업개요

SPNEGO는 클라이언트와 서버 간의 인증에 사용되는 GSSAPI 기술을 협상하기 위한 인터넷 표준 입니다.
NEGOEX는 SPNEGO 용 확장 협상 메커니즘으로 NEGOEX는 "SMB, RDP" 프로토콜을 기본적으로 인증에 사용하며
"SMTP 및 HTTP" 프로토콜도 사용할 수 있습니다. (이외 프로토콜도 사용 함)
때문에 기존 EternalBlue(CVE-2017-0144) SMB 이슈보다 크리티컬 할 수 있습니다.

해당 취약점은 MS 2022년 9월 보안 업데이트에 릴리즈 되어 패치 되었습니다.
당시 CVSSv3 점수 7.5점으로 분류 되었으나 IBM 보안 연구원에 의해 RCE로 이어질 수 있음이 확인 되었고 
MS 2022년 12월 보안 업데이트 일부로 CVSSv3 점수 8.1점이 할당 되었습니다.

보안 업데이트 최신화 및 업데이트 불가한 서버에 대한 안내 및 조치가 필요 합니다.

 

 CVE

※ CVE 코드 : CVE-2022-32250 
※ 세부내용 : SPNEGO 확장 협상(NEGOEX) 보안 메커니즘 정보 공개 취약성
※ 참고 URL : https://www.cve.org/CVERecord?id=CVE-2022-37958 
※ 영향 버전 : MS Windows 계열 전체
※ 패치 버전 : MS 2022년 9월 보안 업데이트로 취약점 해결 됨
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958 

 

Security Update Guide - Microsoft Security Response Center

 

msrc.microsoft.com

 

 조치방안

1) OS 버전 확인

systeminfo | findstr "OS" 

2) 윈도우 보안 업데이트 최신화 진행
- 대상 : 보안 업데이트 가능한 버전 (Win2012, Win2016, Win2019, Win10, Win11 등)
- 제외 : 보안 업데이트 종료된 버전 (Win2003, Win2008 등)

이미 업데이트 진행 한 경우 적용 확인만 진행   
제외 대상은 이전 권고 안내 및 이전 진행

3) 12월 보안 업데이트 적용 확인

wmic qfe where "InstalledOn like '12/%/2022'"  

예시) 
C:\Users\9010_64bit>systeminfo | findstr "OS"
OS 이름:                 Microsoft Windows 10 Pro
OS 버전:                 10.0.19044 N/A 빌드 19044

2) 업데이트 적용 확인
C:\Users\9010_64bit>wmic qfe where "InstalledOn like '12/%/2022'"
Caption                                     CSName     Description      FixComments  HotFixID   InstallDate  InstalledBy          InstalledOn  Name  ServicePackInEffect  Status
http://support.microsoft.com/?kbid=5020872  JYKIM03PC  Update                        KB5020872               NT AUTHORITY\SYSTEM  12/14/2022
https://support.microsoft.com/help/5021233  JYKIM03PC  Security Update               KB5021233               NT AUTHORITY\SYSTEM  12/14/2022
                                            JYKIM03PC  Update                        KB5020372               NT AUTHORITY\SYSTEM  12/14/2022

여기까지 원격코드 취약점 대응 방안에 대하여 알아보았습니다.

 

도움이 되셨다면 구독과 좋아요

궁금하신 내용이 있으시면 댓글 부탁드립니다.

 

반응형
저작자표시 비영리 변경금지

'IT > Windows' 카테고리의 다른 글

Windows Server 2019 설치  (0) 2023.03.02
[보안이슈] HTTP Protocol Stack / 원격 코드 실행 취약점(CVE-2022-21907) 점검  (0) 2023.02.17
윈도우 modsecurity 설치  (2) 2021.12.22
윈도우 IPSec 설정 스크립트  (0) 2021.06.17
윈도우 IPSec 설정  (0) 2021.06.13
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기
IT/Windows 관련 글
글 더보기
});

티스토리툴바