CVE-2020-1472 NetLogon 권한 상승 취약점 가이드
Secure RPC를 사용하지 않는 솔루션으로 부터의 Netlogon 요청 차단
2021년 2월 9일에 적용될 업데이트 후에 Active Directory 도메인 서비스는 아래와 같이 Secure RPC가 아닌 일반 RPC 통신을 하고 있는 솔루션의 넷로그온 요청을 차단한다고 함. 참고하자.
CVE-2020-1472 NetLogon 권한 상승 취약점 가이드
해당 안내 메일은 MS-NRPC(Netlogon Remote Protocol)에 영향을 미치는 비공개 보고된 권한 상승 보안 취약성에 관해 고객에게 지침을 제공하기 위한 것입니다.
보안 취약성 세부 정보
| CVE-2020-1472 | NetLogon 권한 상승 취약성 |
| 요약 | 이 취약성은 공격자가 Netlogon Remote Protocol(MS-NRPC)*를 사용하여 Windows Domain Controller(DC)에 취약한 Netlogon 보안 채널 연결을 악용하여 권한 상승을 시킬 수 있습니다. 이 취약성 악용에 성공한 공격자는 네트워크의 장치에서 특수 제작된 응용 프로그램 등을 실행할 수 있습니다. 이 취약성을 악용하려면, 인증되지 않은 공격자가 MS-NRPC를 사용하여 DC에 연결하여 도메인 관리자 액세스 권한을 얻어야 합니다. 이 취약성을 완전히 해결하기 위해서는, 도메인 컨트롤러와의 모든 Netlogon 보안 채널에 Secure RPC 을 사용하여 통신해야 합니다. 이 업데이트는 도메인 멤버 클라이언트 및 포레스트의 DC와 AD DC 간에 기본적으로 Secure RPC로 Netlogon 보안 채널을 사용하도록 적용합니다. 2 단계로 나누어 이 취약성을 해결하고 있습니다. 1단계인 초기 배포 단계(2020년 8월 11일 업데이트)에서는, Secure RPC를 사용하지 않는 Windows 장치 및 Windows/Non-Windows DC와의 MS-NRPC에 대한 연결 요청을 거부합니다. 2단계인 적용 단계(2021년 2월 9일 업데이트 예정)에서는, Secure RPC를 사용하지 않는 모든 장치와의 MS-NRPC에 대한 연결 요청을 거부합니다. 이 취약성에 필요한 변경 사항을 관리하는 방법과 단계적 롤아웃에 대한 자세한 내용은 CVE-2020-1472와 관련된 Netlogon 보안 채널 연결의 변경 사항을 관리하는 방법를 확인해 주십시오. 업데이트가 발표될 때 알림을 받으려면 이 공지의 내용 변경 시 알림을 받을 수 있도록 보안 알림 메일러에 등록하는 것이 좋습니다. * Netlogon Remote Protocol(MS-NRPC로 불림)은 도메인에 가입된 장치의 사용자 및 컴퓨터 인증에 사용되는 RPC 인터페이스입니다. |
| 취약점 영향 | 권한 상승 |
| 심각도 | 긴급 |
| 영향받는 소프트웨어 및 설치 KB 번호 | 지원되는 모든 버전의 Windows Server 각 서버 버전 별 설치 KB번호는 다음과 같습니다. |
| 사전 설치 조건 | 이 업데이트를 적용하기 전에 반드시 각 KB문서 및 설치 가이드 문서 내용을 확인해 주십시오. OS별 사전 설치 조건은 각각의 설치KB문서에서 확인할 수 있습니다. |
| 완화 요소 | 이 취약성에 대한 완화 요소를 확인하지 못했습니다. |
| 대안 | 이 취약성에 대한 대안을 확인하지 못했습니다. |
| 공개적으로 보고되는지 여부 | 아니요 |
| 알려진 악용 사례인지 여부 | 아니요 |
| CVE 세부 정보 | https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2020-1472 |
| 알려진 문제점 | 현재까지 이 업데이트로 인한 알려진 문제점은 보고된 바가 없습니다. |
단계별 적용 내용 및 영향
2 단계로 나누어 이 취약성을 해결하고 있습니다. 각 단계별 적용 내용 및 영향은 다음과 같습니다.
| 1단계, 초기 배포 단계 (Initial Deployment Phase) 2020년 8월 11일 업데이트 이후 |
| 적용 내용 | Windows 기반 장치의 머신 계정에 Secure RPC사용을 기본 적용합니다. Trust 계정에 대해 Secure RPC 사용을 기본 적용합니다. 모든 Windows 및 Non-Windows 장치에 대해 Secure RPC 사용을 기본 적용합니다. Windows 장치 및 Windows DC의 Non Secure RPC Netlogon 요청을 거부합니다. (Event ID 5821/5828 Error) 비 호환(Non-complaint)* 장치의 머신 계정을 허용하는 새로운 보안 그룹 정책 포함합니다. “Domain controller: Allow vulnerable Netlogon secure channel connections" group policy 새로운 레지스트리 키FullSecureChannelProtection를 사용하여 모든 머신 계정에 대해 DC 적용 모드(enforcement mode)를 사용하도록 설정할 수 있습니다. FullSecureChannelProtection = 0 (초기 배포 모드 사용, 기본값) FullSecureChannelProtection = 1 (적용 모드 사용) 시스템 이벤트 로그에 새로운 Netlogon 오류 및 경고 Event ID 5827 ~ 5831 추가됩니다. 자세한 각 Event ID에 대한 설명은 아래를 살펴보시기 바랍니다. * 비 호환(Non-complaint)이란, Secure RPC를 사용하지 않는 취약한 Netlogon 보안 채널 연결을 사용하는 것입니다. |
| Actions for IT Admins | 도메인 조인된 Windows 멤버 서버 및 Windows 클라이언트가 Secure RPC를 사용하는지 확인합니다. 기본적으로, Windows XP SP2 / Windows Server 2000 이상에서는 Secure RPC를 사용합니다. (Windows NT4.0 은 지원 못함). 만일, Windows장치가 Non SecureRPC 로 연결된다면, 클라이언트의 로컬 보안 정책 “Domain member: Digitally encrypt or sign secure channel data (always) : Enabled” 되어 있는지 확인합니다. Non-Windows 장치가 SecureRPC를 사용하는지 확인합니다. 만일 이를 지원하지 않는다면, 해당 제조사 및 소프트웨어 벤더에 확인해 주십시오. 포레스트의 Non-Windows DC가 Secure RPC를 사용하는지 확인합니다. 만일 이를 지원하지 않는다면, 해당 제조사 및 소프트웨어 벤더에 확인해 주십시오. 포레스트의 모든 DC에 2020년 8월 11일 업데이트를 배포합니다. 다음의 오류 및 경고 이벤트를 모니터링하고 각 이벤트에 대해 2021년 2월 전까지 조치합니다. event ID 5829 Warning : Non Secure RPC 를 사용하는 Non-Windows 장치에 대한 연결 허용하나, 경고 표시됨. event ID 5827/5828 Error : Non Secure RPC사용하는 Windows 장치 및 Windows DC에 대한 연결 거부됨. event ID 5830/5831 Warning: 그룹 정책에 의한 연결 허용하나, 경고 표시됨. DC enforcement mode를 테스트하려면, FullSecureChannelProtection=1 레지스트리 키를 설정합니다. 새 업데이트가 발표될 때 알림을 받을 수 있도록, the security notifications mailer (aka.ms/MSTN)에 등록합니다. |
| 2단계, 적용 모드 (Enforcement Phase) 2021년 2월 9일 업데이트 예정 |
| 적용 내용 | DC는 Secure RPC를 사용하지 않는 모든 비 호환(Non-complaint) 장치에 대한 취약한 Netlogon 요청을 거부할 예정입니다. Event ID 5829가 제거될 예정입니다. DC의 보안 그룹 정책 Domain controller: Allow vulnerable Netlogon secure channel connections" group policy 은 유지됩니다. |
| Actions for IT Admins | 모든 오류 및 경고 이벤트(Event ID 5827~5831)가 해결되었는지 확인합니다. 2021년 2월 9일(PST)에 발표된 보안 업데이트를 포레스트의 모든 DC에 배포합니다. |
단계별Netlogon 연결 요청 영향
| 장치 유형 | 1단계 : 초기 배포 단계 2020년 8월 11일 업데이트 이후 |
2단계: 적용 단계 2021년 2월 9일 업데이트 예정 |
GPO 적용 Domain controller: Allow vulnerable Netlogon secure channel connections |
| Windows 장치 Machine account |
Secure RPC | 허용 | 허용 | 허용 |
| Non Secure RPC* | 거부 Event ID 5827 |
거부 Event ID 5827 |
허용 Event ID 5830 |
|
| Windows DC Trust account |
Secure RPC | 허용 | 허용 | 허용 |
| Non Secure RPC* | 거부 Event ID 5828 |
거부 Event ID 5828 |
허용 Event ID 5831 |
|
| Non-Windows 장치 Machine account |
Secure RPC | 허용 | 허용 | 허용 |
| Non Secure RPC | 허용 Event ID 5829 |
거부 Event ID 5827 |
허용 Event ID 5830 |
|
| Non-Windows DC Trust account |
Secure RPC | 허용 | 허용 | 허용 |
| Non Secure RPC | 거부 Event ID 5828 |
거부 Event ID 5828 |
허용 Event ID 5831 |
|
| AD Trust Account | Secure RPC | 허용 | 허용 | 허용 |
| Non Secure RPC | 거부 Event ID 5828 |
거부 Event ID 5828 |
허용 Event ID 5831 |
| * Windows XP SP2 / Windows Server 2000이상에서는 기본적으로 Secure RPC를 사용합니다. 만일 Windows 장치가 Non Secure RPC 통신을 한다면, 로컬 보안 정책 Domain member: Digitally encrypt or sign secure channel data (always) : Enabled 되어 있는지 확인합니다. 만일, secure RPC를 지원하지 않는 Non-Windows장치에 대해 취약한 Netlogon 연결을 허용해야 하는 경우라면, 2020년 8월 업데이트에 포함된 새 그룹 정책 "Domain controller: Allow vulnerable Netlogon secure channel connections" group policy 에서 허용할 수 있습니다. 그러나, 이 보안 정책 적용 시 Netlogon보안에 취약해 지므로 권장하지 않으며, 해당 장치의 제조사 및 소프트웨어 벤더에 확인해 주십시오. |
CVE-2020-1472 NetLogon Event ID 설명
Windows DC서버에 2020년 8월 11일 업데이트를 설치한 후, 취약한 Netlogon 이벤트 정보를 확인할 수 있습니다.
2021년 2월 9일에 예정된, [적용 모드]를 시행하기 전에 다음 Event ID 정보들을 확인하고 조치하시기 바랍니다. 자세한 설명은 다음과 같습니다.
| Event ID | Event Type | Account Type | 설명 | 점검 방법 | Workaround |
| 5827 | Error : Denied | Machine Account | Non Secure RPC 를 사용하는 Windows 장치의 머신 계정 요청을 거부. | 1. 지원되는 Windows 버전인지 확인 2. 최신 업데이트가 설치되었는지 확인 3. Secure RPC를 사용하는지 확인, 다음 정책 확인. Domain Member : Digitally Encrypt or sign secure channel data(always) | enabled |
GPO 설정 Domain controller: Allow vulnerable Netlogon secure channel connections (주의!) 이 GPO를 이용하여 취약한 Netlogon 보안 채널 연결을 허용할 수 있으나, Netlgon 취약성이 존재하기 때문에 보안에 취약하며 권고하지 않습니다. |
| 5828 | Error : Denied | Trust Account | Non Secure RPC 를 사용하는 Windows DC 및 Non-Windows DC의 Trust계정 요청을 거부. | 1. 지원되는 Windows Server 버전인지 확인 2. DC가 Secure RPC를 사용하는지 확인 Domain Member : Digitally Encrypt or sign secure channel data(always) – enabled 3. Non-Windows DC인 경우, 제조사 및 소프트웨어 벤더에 확인 4. Non-Compliant DC 제거 |
GPO 설정 Domain controller: Allow vulnerable Netlogon secure channel connections (주의!) 이 GPO를 이용하여 취약한 Netlogon 보안 채널 연결을 허용할 수 있으나, Netlgon 취약성이 존재하기 때문에 보안에 취약하며 권고하지 않습니다. |
| 5829 | Warning : Allowed | Non-complaint : 3rd party devices | Non Secure RPC를 사용하는 Non-Windows 장치의 머신 계정 요청을 수락하지만, 경고 표시됨. | 1. 장치 제조사 및 소프트웨어 벤더에 확인 2. 만일, secure RPC를 지원하지 않는다면, 해당 장치 제거 |
초기 배포 단계 : 연결 허용됨. 적용 단계(2021년 2월 업데이트 이후) : 연결 거부됨. GPO 설정 Domain controller: Allow vulnerable Netlogon secure channel connections (주의!) 이 GPO를 이용하여 취약한 Netlogon 보안 채널 연결을 허용할 수 있으나, Netlgon 취약성이 존재하기 때문에 보안에 취약하며 권고하지 않습니다. |
| 5830 | Warning : Allowed | Machine Account | GPO(Domain controller: Allow vulnerable Netlogon secure channel connections) 적용 후, Non Secure RPC를 사용하는 Windows및 Non-Windows 장치의 머신 계정 요청을 수락하지만, 경고 표시됨. |
Event ID 5830로그에 있는 Machine Name을 확인하고 조치합니다 | (주의!) 이 GPO를 이용하여 취약한 Netlogon 보안 채널 연결을 허용할 수 있으나, Netlgon 취약성이 존재하기 때문에 보안에 취약하며 권고하지 않습니다. |
| 5831 | Warning : Allowed | Trust Account | GPO(Domain controller: Allow vulnerable Netlogon secure channel connections) 적용 후, Non-complaint DC의 Trust계정 요청을 수락하지만, 경고 표시됨. |
Event ID 581 로그에 있는 Trust Account Name을 확인하고 조치합니다 | (주의!) 이 GPO를 이용하여 취약한 Netlogon 보안 채널 연결을 허용할 수 있으나, Netlgon 취약성이 존재하기 때문에 보안에 취약하며 권고하지 않습니다. |
FAQ
Q. 이 취약성으로부터 보호하기 위해 추가 조치가 필요한가요?
예. 2020년 8월 11일에 출시된 보안 업데이트를 설치한 후 DC 적용 모드를 배포하거나 2021년 1분기 업데이트를 기다릴 수 있습니다. CVE-2020-1472와 관련된 Netlogon 보안 채널 연결의 변경 사항을 관리하는 방법에서 자세한 내용을 참조하세요.
Q. 업데이트를 설치하고 추가 조치를 취하지 않으면 어떤 영향이 있습니까?
2020년 8월 11일에 릴리스 된 업데이트로 시작하는 초기 배포 단계에서 추가 작업 없이 업데이트를 설치할 수 있으며, 그 경우 Windows 장치 및 DC(도메인 컨트롤러)는 이 취약성으로부터 보호됩니다.
조직은 2021년 1분기 DC 적용 단계 또는 위험 장치가 액세스를 거부하기 전에 잠재적 문제를 모니터링하고 해결해야 합니다. 자세한 내용은 CVE-2020-1472와 관련된 Netlogon 보안 채널 연결의 변경 사항을 관리하는 방법을 참조하세요.
Q. 이 취약성을 어떻게 해결할 계획입니까?
단계적인 롤아웃으로 취약성을 해결하고 있습니다. 초기 배포 단계는 2020년 8월 11일에 릴리스 된 Windows 업데이트로 시작됩니다. 이 업데이트를 통해 DC(도메인 컨트롤러)는 기본적으로 Windows 장치를 보호하고 비 호환 장치 검색에 대한 이벤트를 기록하며 명시적 예외를 제외하고 모든 도메인 가입 장치에 대한 보호를 활성화할 수 있습니다.
2단계는 2021년 1분기 릴리스 예정이며 적용 단계로의 전환을 나타냅니다. DC는 적용 모드로 설정되며 모든 Windows 및 비 Windows 장치가 Netlogon 보안 채널과 함께 보안 RPC를 사용하거나 비 호환 장치에 대한 예외를 추가하여 명시적으로 계정을 허용해야 합니다.
Q. 왜 단계적 출시로 이뤄지나요?
Netlogon Remote Protocol(MS-NRPC(영문)라고도 함)의 다양한 비 Windows 장치 구현이 있습니다. 비 호환 구현 공급 업체가 고객에게 업데이트를 제공할 수 있도록 2021년 1분기에 예정된 두 번째 릴리스는 모든 도메인 가입 장치에 대한 보호를 시행합니다.
Q. 왜 CVE-2020-1472와 관련된 Netlogon 보안 채널 연결의 변경 사항을 관리하는 방법의 지침을 따라야 하나요?
KB 문서의 지침을 따르지 않으면 귀하의 조직은 2021년 1분기에 시행 단계가 시작될 때 장치에 대한 액세스가 거부될 위험이 있습니다. 현재 환경에 비 호환 장치가 없는 경우 필요한 시행 전에 추가 보호를 위해 시행 모드로 이동할 수 있습니다.
Q. 2021년 1분기에 두 번째 릴리스가 제공될 때 알림을 받으려면 어떻게 해야 합니까?
Windows 업데이트 2단계가 공개되면 이 보안 취약성을 수정하여 알려드리도록 하겠습니다. 업데이트가 발표될 때 알림을 받으려면 이 공지의 내용 변경 시 알림을 받을 수 있도록 보안 알림 메일러에 등록하는 것이 좋습니다.
관련 리소스
CVE-2020-1472 | Netlogon 권한 상승 취약성: https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2020-1472
기술 문서 KB4557222 | CVE-2020-1472와 관련된 Netlogon 보안 채널 연결의 변경 사항을 관리하는 방법
기술 문서 4557233 https://support.microsoft.com/en-us/help/4557233/script-to-help-in-monitoring-event-ids-related-to-changes-in-netlogon