원래 게시 날짜: 2025년 9월 30일
KB ID: 5068222
소개
이 문서에서는 특히 루프백 시나리오에서 네트워크 인증 중에 무단 권한 상승이 발생하지 않도록 설계된 최근 보안 향상에 대해 설명합니다. 이러한 위험은 복제된 디바이스 또는 ID가 일치하지 않는 컴퓨터가 도메인에 추가될 때 종종 발생합니다.
배경
도메인에 가입된 Windows 디바이스에서 LSASS(로컬 보안 기관 보안 서비스) 는 네트워크 인증 토큰 필터링을 비롯한 보안 정책을 적용합니다. 이렇게 하면 로컬 관리자가 원격 액세스를 통해 상승된 권한을 얻을 수 없습니다. Kerberos 인증은 강력하지만 일관되지 않은 컴퓨터 ID 확인으로 인해 루프백 시나리오에서 이전에 취약했습니다.
주요 변경 내용
이러한 취약성을 해결하기 위해 Microsoft는 영구 컴퓨터 계정 SID(보안 식별자)를 도입했습니다. 이제 SID는 시스템 다시 시작에서 일관성을 유지하여 안정적인 컴퓨터 ID를 유지하는 데 도움이 됩니다.
이전에는 Windows에서 각 부팅 시 새 컴퓨터 ID를 생성하여 공격자가 인증 데이터를 다시 사용하여 루프백 검색을 바이패스할 수 있도록 했습니다. 2025년 8월 26일 이후의 Windows 업데이트가 릴리스되면 컴퓨터 ID에 부팅당 구성 요소와 부팅 간 구성 요소가 모두 포함됩니다. 이렇게 하면 악용을 더 쉽게 감지하고 차단할 수 있지만, 교차 부팅 컴퓨터 ID가 일치하고 차단되므로 복제된 Windows 호스트 간에 인증 오류가 발생할 수 있습니다.
보안 영향
이 향상된 기능은 Kerberos 루프백 취약성을 직접 해결하여 시스템이 현재 컴퓨터의 ID와 일치하지 않는 인증 티켓을 거부하도록 합니다. 이는 오래된 ID 정보를 권한 상승에 악용할 수 있으므로 디바이스가 복제되거나 이미지로 다시 설치되는 환경에서 특히 중요합니다.
LSASS는 Kerberos 티켓의 SID에 대해 컴퓨터 계정 SID의 유효성을 검사하여 일치하지 않는 티켓을 검색하고 거부하여 UAC(사용자 계정 제어) 보호를 강화할 수 있습니다.
권장 조치
-
복제된 디바이스에서 이벤트 ID: 6167 과 같은 문제가 발생하는 경우 시스템 준비 도구(Sysprep)를 사용하여 디바이스의 이미지를 일반화합니다.
-
도메인 조인 및 복제 사례를 검토하여 이러한 새로운 보안 향상에 맞춥니다.
결론
이러한 변경은 지속적이고 확인 가능한 컴퓨터 ID에 바인딩하여 Kerberos 인증을 향상시킵니다. 조직은 무단 액세스 및 권한 에스컬레이션에 대한 향상된 보호를 통해 엔터프라이즈 환경 전반에서 ID 기반 보안을 강화하기 위한 Microsoft의 광범위한 보안 우선 이니셔티브를 지원합니다.
