-
CVE-2021-34527(PrintNightmare) 취약점 해결하기Security 2021. 7. 18. 16:17반응형
며칠 지난 일이지만 메일 한통을 받았는데 Print Spooler에서 치명적인 위협이 있다고 전달받았고, 지침에 따라 조치하라는 내용을 전달받았다. 명명된 이름은 CVE-2021-34527이고 일명 PrintNightmare라는 명칭으로 불리는 취약점이다. 나온 지 얼마 안 된 따끈따끈한? 취약점인데 이리저리 정보를 찾아보니 MS에서 긴급으로 배포한 것이라고 한다. Zeroday 공격이라 그런 듯하다.
CVE-2021-34527은 7월16일 마지막 업데이트 되었다. 출처 : Microsoft 그래서 MS의 문서와 CVE 문서를 보았는데, MS사에서는 인쇄 스풀러를 이용하여 악의적인 의도로 시스템 권한을 사용하여 프로그램 또는 데이터 변경 및 삭제 등을 할 수 있다는 것이다. 권한을 탈취하여 원격으로 조작이 가능하다는 것이다. 이게 된다면 매우 심각한 문제가 생길 수 있으므로 확인 즉시 조치에 들어갔다.
1. MS에서 제공하는 업데이트 설치
MS에서는 7월 6일 이후 보안 업데이트 패치를 받은 뒤, 레지스트리 설정을 확인하라고 지침이 나와있었다.
그리고 이 업데이트를 즉시 설치하길 권한다고 되어 있다.
내용의 키포인트는 새 프린터 드라이버 설치가 제한되는 설정의 레지스트리가 추가된 것으로 보인다.
새 프린터 드라이버 설치 제한이 주 내용 인듯하다. 출처 : Microsoft 좀 더 찾아보니 KB5004945 업데이트를 받으면 된다고 한다. 아래 링크에서 별도로 받아서 설치할 수 있다.
하지만 웬만하면 설치하는 김에 업데이트를 모두 받는 게 좋을 듯하다.
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004945
Microsoft Update 카탈로그
2021-07 Dynamic Cumulative Update for Windows 10 Version 2004 for x86-based Systems (KB5004945) Windows 10 GDR-DU Security Updates 2021-07-06 해당 없음 269.8 MB 282873678 2021-07 Dynamic Cumulative Update for Windows 10 Version 2004 for x64-based Syste
www.catalog.update.microsoft.com
2. 레지스트리 확인
레지스트리를 열어 아래의 설정과 동일한지 확인한다.
기본적으로 아래의 레지스트리는 존재하지 않고, 이 경우 값이 0으로 설정되어 있는 것이라 안전한 상태라고 한다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
- UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
출처 : Microsoft 3. 프린터를 사용하지 않는다면 아예 서비스를 꺼버린다.(인쇄 기능이 중단된다)
굉장히 극단적인 방법이지만 그만큼 확실한 방법이다.
프린터를 사용한다면 위의 1,2번 설정을 하면 되고 프린터를 사용하지 않는다면 Printer Spooler 서비스를 끈다. Windows PowerShell을 켜고 아래 명령어를 입력한다.
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
잘 설정되었다면 에러가 나타나지 않고 실행된다.
Server 2012 R2 PowerShell에서 실행한 화면 4. 도메인 정책 수정
서버 관리자 또는 보안 담당자는 도메인 서버(AD서버)에서 정책을 안전하게 수정해야 한다.
수정하는 방법은 아래 링크를 참조하면 되고 , 내용은 새로운 프린터에 연결할 때 권한 상승 안내 문구가 나온다.
사용자들은 갑작스럽게 나타나는 권한 상승 안내 문구를 맞이할 것이고 관리자를 찾게 될 것으로 예상된다.
KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
A subscription to make the most of your time
support.microsoft.com
참고 링크
https://blog.alyac.co.kr/3878?category=750247
Windows Print Spooler 원격코드실행 취약점(CVE-2021-1675) 주의!
Windows Print Spooler란 윈도우의 프린터 작업을 관리하는 프로세스로, 여러 프로그램에서 사용이 됩니다. 공격자는 해당 취약점을 이용하여 PfcAddPrinterDriver 보안인증을 우회, 프린터 서버에 악성 드
blog.alyac.co.kr
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
A subscription to make the most of your time
support.microsoft.com
반응형'Security' 카테고리의 다른 글
AMD CPU 칩셋 업데이트(PSP 드라이버 업데이트) (0) 2021.11.29 BitLocker "이 장치는 신뢰할 수 있는 플랫폼 모듈을 사용할 수 없습니다" 메시지 발생시 해결 방법 (0) 2021.08.01 Aruba AP Controller 프로토콜 TLS 1.2로 설정하기 (0) 2021.04.19 HTHS(HTTP Strict Transport security)란? IIS 서버에 설정 방법 (0) 2021.04.18 Nessus 설치 / 취약점 진단 (0) 2021.04.13