Windows 10 버전 22H2의 심각한 NTLMv2 해시 유출 취약점 발견

보안 연구진들이 **Microsoft Windows 10 버전 19045 (22H2)**에서 NTLMv2 해시 유출을 가능하게 하는 심각한 취약점을 공개했습니다. 이 취약점은 공격자가 자격 증명을 탈취하고 침해된 네트워크 내에서 **횡적 이동(lateral movement)**을 수행할 수 있는 위험을 초래합니다. 해당 익스플로잇은 **Exploit Database (EDB-ID: 52415)**에 게시되었으며, Windows 10 환경에 의존하는 기업들에게 중대한 위협이 되고 있습니다.

취약점의 기술적 세부 사항

이 취약점은 NTLMv2 인증 응답의 부적절한 처리로 인해 발생하며, 공격자가 전송 중인 해시된 자격 증명을 탈취할 수 있습니다. NTLMv2(NT LAN Manager version 2)는 Windows 환경에서 네트워크 인증을 위해 사용되는 챌린지-응답 인증 프로토콜입니다. 이 취약점이 악용될 경우 다음과 같은 위험이 발생할 수 있습니다:

• 자격 증명 탈취: 중간자 공격(MITM) 또는 악의적인 서버를 통한 해시 탈취
• 패스-더-해시 공격(Pass-the-Hash): 비밀번호 요구 사항 우회
• 네트워크 내 횡적 이동: 초기 침해 후 추가 공격 경로 확보

현재 이 취약점에는 CVE ID가 할당되지 않았습니다. 그러나 보안 팀은 Microsoft의 보안 권고 사항을 모니터링하여 업데이트 및 패치를 신속히 적용해야 합니다.

영향 분석

NTLMv2 해시 유출 취약점은 다음과 같은 조직에 높은 위험을 초래합니다:

• NTLM 인증을 여전히 사용하는 레거시 시스템
• Windows 10 버전 19045 (22H2) 미패치 배포 환경
• NTLM 트래픽을 허용하는 잘못된 네트워크 보안 정책

이 취약점이 성공적으로 악용될 경우 권한 상승, 데이터 유출, 또는 전체 도메인 침해로 이어질 수 있으며, 다른 공격 기법과 결합될 경우 피해가 더욱 확대될 수 있습니다. 기업은 노출 가능성을 평가하고 대응 조치를 우선적으로 시행해야 합니다.

보안 팀을 위한 권고 사항

이 취약점으로 인한 위험을 완화하기 위해 보안 전문가들은 다음 조치를 취해야 합니다:

1. 가능한 경우 NTLM 인증 비활성화 및 Kerberos를 기본 인증 프로토콜로 적용.
2. Windows 10 버전 19045에 대한 Microsoft의 최신 보안 업데이트 적용 (패치 출시 시).
3. SIEM 또는 EDR 솔루션을 사용하여 비정상적인 NTLM 인증 시도를 모니터링.
4. SMB 서명(SMB Signing) 구현으로 NTLM 해시를 대상으로 한 릴레이 공격 방지.
5. 보안 감사 실시 및 NTLM을 사용하는 시스템을 최신 인증 방식으로 마이그레이션.

보안 팀은 익스플로잇 코드(EDB-ID: 52415)를 검토하고 환경의 취약성을 테스트해야 합니다. Microsoft는 아직 공식 권고 사항을 발표하지 않았지만, 사전 조치를 통해 이 심각한 취약점에 대한 노출을 줄일 수 있습니다.