Windows 10/11 취약점(CVE-2024-21302)으로 인한 NTLM 해시 유출 스푸핑 공격 가능

Windows 10/11 NTLM 해시 유출 취약점으로 인한 스푸핑 공격 위험

보안 연구원들은 Windows 10 및 11에서 NTLM 해시를 유출할 수 있는 심각한 스푸핑 공격 취약점을 공개했습니다. 이 취약점은 **CVE-2024-21302**로 추적되며, Exploit Database에 게시된 내용에 따르면 Windows 인증 메커니즘에 의존하는 기업에 중대한 위험을 초래합니다.

기술적 세부 사항

이 취약점은 NTLM(NT LAN Manager) 인증 프로토콜의 약점을 악용합니다. NTLM은 레거시이지만 여전히 Windows 환경에서 널리 사용되는 네트워크 인증 방식입니다. 공격자는 이 취약점을 이용해 다음과 같은 공격을 수행할 수 있습니다:

• 정상 서비스로 위장하여 사용자가 악성 서버에 인증하도록 유도.
• 전송 중인 NTLM 해시 탈취 후 오프라인에서 크래킹하거나 Pass-the-Hash 공격에 활용.
• NTLM에 의존하는 보안 제어 우회, 일부 Single Sign-On(SSO) 구현 포함.

해당 익스플로잇(ID: 52478)은 관리자 권한 없이도 실행 가능하여 낮은 권한의 공격자도 악용할 수 있습니다. 마이크로소프트는 아직 상세 권고안을 발표하지 않았지만, 이 취약점은 NTLM 챌린지-응답 메커니즘의 부적절한 처리로 인해 발생한 것으로 추정됩니다.

영향 분석

NTLM 해시 유출은 다음과 같은 심각한 위험을 초래합니다:

• 인증 정보 탈취: 공격자는 NTLM 해시를 크래킹해 평문 비밀번호를 획득할 수 있으며, 특히 약하거나 재사용된 비밀번호가 사용된 경우 위험이 큽니다.
• 네트워크 내부 이동: 탈취된 해시는 Pass-the-Hash 공격을 통해 네트워크 내에서 이동하는 데 사용될 수 있습니다.
• 권한 상승: NTLM이 권한 있는 접근에 사용되는 환경에서 공격자는 권한을 상승시킬 수 있습니다.
• 기업 환경 노출: 레거시 시스템, 하이브리드 환경, 또는 NTLM에 의존하는 서드파티 통합을 사용하는 조직은 특히 취약합니다.

보안 팀을 위한 권고 사항

CVE-2024-21302와 관련된 위험을 완화하기 위해 보안 전문가는 다음 조치를 취해야 합니다:

1. 마이크로소프트 패치 적용: 이 취약점을 해결하는 최신 보안 업데이트를 모니터링하고 배포합니다.
2. NTLM 비활성화: 가능한 경우 Kerberos 또는 최신 인증 프로토콜(예: OAuth 2.0, SAML)로 전환하여 NTLM 의존도를 줄입니다.
3. SMB 서명 강제: NTLM을 악용한 릴레이 공격을 방지하기 위해 SMB 서명을 요구합니다.
4. 네트워크 세분화: 네트워크를 세분화하고 NTLM 트래픽을 제한하여 내부 이동을 차단합니다.
5. 의심스러운 활동 모니터링: SIEM 도구를 활용해 비정상적인 NTLM 인증 시도나 해시 탈취를 탐지합니다.
6. 사용자 교육: 피싱 및 스푸핑 공격을 인식하도록 직원을 교육합니다.

다음 단계

NTLM이 기업 환경에서 널리 사용됨에 따라 조직은 패치 적용과 프로토콜 강화를 우선시해야 합니다. 보안 팀은 인증 로그를 검토하여 악용 징후를 확인하고 NTLM 기반 공격에 대한 노출도를 평가해야 합니다.

자세한 내용은 Exploit Database에서 확인하세요.