로그 변경
|
변경 1: 2023년 6월 19일:
|
이 문서에서
요약
2022년 11월 8일 및 이후에 릴리스되는 Windows 업데이트에서는 취약한 RC4-HMAC 협상을 사용하여 인증 협상을 통한 보안 우회 및 권한 상승 취약성을 해결합니다.
이 업데이트는 AES를 기본 암호화 유형으로 아직 표시되지 않은 계정의 세션 키에 대한 기본 암호화 유형으로 설정합니다.
환경을 더 안전히 보호하려면 도메인 컨트롤러를 비롯한 모든 장치에 2022년 11월 8일 이후에 릴리스된 Windows 업데이트를 설치합니다. 변경 1을 참조하세요.
이 취약성에 대해 자세히 알아보려면 CVE-2022-37966을 참조하세요.
명시적으로 설정된 세션 키 암호화 유형 검색
CVE-2022-37966에 취약한 사용자 계정에 명시적으로 정의된 암호화 유형이 있을 수 있습니다. 다음 Active Directory 쿼리를 사용하여 DES/RC4가 명시적으로 활성화되었지만 AES는 활성화되지 않은 계정을 찾습니다.
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
레지스트리 키 설정
2022년 11월 8일 이후의 Windows 업데이트를 설치한 후 Kerberos 프로토콜에 대해 다음 레지스트리 키를 사용할 수 있습니다.
DefaultDomainSupportedEncTypes
|
레지스트리 키 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
값 |
DefaultDomainSupportedEncTypes |
|
데이터 형식 |
REG_DWORD |
|
데이터 값 |
0x27(기본값) |
|
다시 시작해야 하나요? |
아니요 |
참고 Active Directory 사용자 또는 컴퓨터에 대해 지원되는 기본 암호화 유형을 변경해야만 하는 경우 레지스트리 키를 수동으로 추가하고 구성하여 새 지원되는 암호화 유형을 설정합니다. 이 업데이트에서는 레지스트리 키를 자동으로 추가하지 않습니다.
Windows 도메인 컨트롤러는 이 값을 사용하여 msds-SupportedEncryptionType 값이 비어있거나 설정되지 않은 Active Directory 계정에서 지원하는 암호화 유형을 확인합니다. Windows 운영 체제에서 지원하는 버전을 실행하는 컴퓨터는 Active Directory에서 해당 컴퓨터 계정에 대해 msds-SupportedEncryptionTypes를 자동으로 설정합니다. 이는 Kerberos 프로토콜에서 사용할 수 있는 암호화 유형의 구성 값을 기반으로 합니다. 자세한 내용은 네트워크 보안: Kerberos에 허용되는 암호화 유형 구성을 참조하세요.
Active Directory의 사용자 계정, 그룹 관리 서비스 계정 및 기타 계정에는 msds-SupportedEncryptionTypes값이 자동으로 설정되지 않습니다.
수동으로 설정할 수 있는 지원되는 암호화 유형을 찾으려면 지원되는 암호화 유형 비트 플래그를 참조하세요. 자세한 내용은 환경을 준비하고 Kerberos 인증 문제를 방지하기 위해 먼저 수행해야 하는 작업을 참조하세요.
이 보안 업데이트에 필요한 최소 변경 내용으로 기본값 0x27(DES, RC4, AES 세션 키)이 선택되었습니다. 이 값이 AES로 암호화된 티켓과 AES 세션 키 모두를 허용하므로 보안 강화를 위해 값을 0x3C로 설정하는 것이 좋습니다. 고객이 Kerberos 프로토콜에 RC4가 사용되지 않는 AES 전용 환경으로 이동하기 위해 지침을 따른 경우 해당 고객은 값을 0x38설정하는 것이 좋습니다. 변경 1을 참조하세요.
CVE-2022-37966과 관련된 Windows 이벤트
Kerberos 키 배포 센터에는 계정에 대한 강력한 키가 없습니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
42 |
|
이벤트 텍스트 |
Kerberos 키 배포 센터에는 accountname라는 계정에 대한 강력한 키가 없습니다. 안전하지 않은 암호화를 사용하지 않도록 하려면 이 계정의 암호를 업데이트해야 합니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2210019를 참조하세요. |
이 오류를 발견한 경우, KrbtgtFullPacSingature 값을 3으로 설정하거나 2023년 7월 11일 이후에 릴리스되는 Windows 업데이트를 설치하기 전에 krbtgt 암호를 다시 설정해야 할 수도 있습니다. CVE-2022-37967과 관련해 프로그래밍 방식으로 적용 모드를 사용하도록 설정하는 업데이트 관련 설명은 Microsoft 기술 자료의 다음 문서에서 확인할 수 있습니다.
KB5020805: CVE-2022-37967과 관련된 Kerberos 프로토콜 변경을 관리하는 방법
이 작업을 수행하는 방법에 대한 자세한 내용은 GitHub 웹 사이트의 New-KrbtgtKeys.ps1 항목을 참조하세요.
자주 묻는 질문(FAQ)과 알려진 문제
명시적 RC4 사용에 대해 플래그가 지정된 계정은 취약합니다. 또한 krbgt 내에 AES 세션 키가 없는 환경은 취약할 수 있습니다. 완화하려면 취약성을 식별하는 방법에 대한 지침을 따르고 레지스트리 키 설정 섹션을 사용하여 명시적으로 설정된 암호화 기본값을 업데이트하세요.
모든 장치에 공통 Kerberos 암호화 유형이 있는지 확인해야 합니다. Kerberos 암호화 유형에 대한 자세한 내용은 지원되는 Kerberos 암호화 형식 선택 암호 해독을 참조하세요.
도메인 컨트롤러에서 그룹 정책을 통해 RC4를 사용하지 않도록 설정한 경우 RC4를 자동으로 추가하거나 AES를 추가하여 일반적인 Kerberos 암호화 유형이 없는 환경이 이전에 작동했을 수 있습니다. 이 동작은 2022년 11월 8일 또는 그 이후에 릴리스된 업데이트로 변경되었으며 이제 레지스트리 키, msds-SupportedEncryptionTypes 및 DefaultDomainSupportedEncTypes에 설정된 내용을 엄격하게 따릅니다.
계정에 msds-SupportedEncryptionTypes 가 설정되어 있지 않거나 0으로 설정된 경우 도메인 컨트롤러는 기본값인 0x27 (39)로 가정하거나 도메인 컨트롤러가 레지스트리 키 DefaultDomainSupportedEncTypes의 설정을 사용합니다.
계정에 msds-SupportedEncryptionTypes 가 설정된 경우 이 설정이 적용되며, 2022년 11월 8일 또는 그 이후에 릴리스된 업데이트를 설치한 후 더 이상 동작이 되지 않는 RC4 또는 AES를 자동으로 추가하는 이전 동작으로 인해 마스킹된 일반적인 Kerberos 암호화 유형을 구성하지 못했음을 노출할 수 있습니다.
일반적인 Kerberos 암호화 유형이 있는지 확인하는 방법에 대한 자세한 내용은 모든 장치에 공통 Kerberos 암호화 유형이 있는지 확인하는 방법 질문을 참조하세요.
2022년 11월 8일 또는 그 이후에 릴리스된 업데이트를 설치한 후 장치에 일반적인 Kerberos 암호화 유형이 없는 이유에 대한 자세한 내용은 이전 질문을 참조하세요.
2022년 11월 8일 또는 그 이후에 릴리스된 업데이트를 이미 설치한 경우 Kerberos 클라이언트와 원격 서버 또는 서비스 간의 연결되지 않은 암호화 유형을 식별하는 Microsoft-Windows-Kerberos-Key-Distribution-Center 이벤트 27에 대한 이벤트 로그를 확인하여 일반적인 Kerberos 암호화 유형이 없는 장치를 검색할 수 있습니다.
클라이언트 또는 비 도메인 컨트롤러 역할 서버에 2022년 11월 8일 또는 그 이후에 릴리스된 업데이트 설치는 사용자 환경의 Kerberos 인증에 영향을 미치지 않습니다.
이 알려진 문제를 완화하려면 관리자 권한으로 명령 프롬프트 창을 열고 일시적으로 다음 명령을 사용하여 레지스트리 키 KrbtgtFullPacSignature를 0으로 설정합니다.
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
참고 이 알려진 문제가 해결되면 환경에 허용되는 항목 에 따라 KrbtgtFullPacSignature 를 더 높은 설정으로 설정해야 합니다. 환경이 준비되는 즉시 적용 모드를 사용하도록 설정하는 것이 좋습니다.
다음 단계 Microsoft는 이 문제를 해결하기 위해 노력하고 있으며 다음 릴리스에서 업데이트를 제공할 예정입니다.
2022년 11월 8일 이후에 릴리스된 업데이트를 도메인 컨트롤러에 설치한 후 모든 장치는 CVE-2022-37967에 필요한 보안 강화를 준수하는 데 필요한 AES 티켓 서명을 지원해야 합니다.
다음 단계 Windows가 아닌 장치용 최신 소프트웨어 및 펌웨어를 이미 실행 중이고 Windows 도메인 컨트롤러와 비 Windows 장치 간에 사용할 수 있는 공통 암호화 유형이 있음을 확인한 경우 장치 제조업체(OEM)에 도움을 요청하거나 규정을 준수하는 장치로 교체하세요.
중요 비준수 장치 인증을 허용하는 해결 방법을 사용하지 않는 것이 좋습니다. 이렇게 하면 환경이 취약해질 수 있습니다.
지원되지 않는 Windows 버전에는 Windows XP, Windows Server 2003, Windows Server 2008 SP2가 포함되며 Windows Server 2008 R2 SP1은 ESU 라이선스가 없으면 업데이트된 Windows 장치에서 액세스할 수 없습니다. ESU 라이선스가 있는 경우 2022년 11월 8일 이후에 릴리스된 업데이트를 설치하고 구성에 모든 장치 간에 사용할 수 있는 공통 암호화 유형이 있는지 확인해야 합니다.
다음 단계 Windows 버전에서 사용할 수 있고 적용 가능한 ESU 라이선스가 있는 경우 업데이트를 설치합니다. 업데이트를 사용할 수 없는 경우 지원되는 Windows 버전으로 업그레이드하거나 애플리케이션 또는 서비스를 호환 장치로 이동해야 합니다.
중요 비준수 장치 인증을 허용하는 해결 방법을 사용하지 않는 것이 좋습니다. 이렇게 하면 환경이 취약해질 수 있습니다.
이 알려진 문제는 사용자 환경의 모든 도메인 컨트롤러에 설치하기 위해 2022년 11월 17일 및 2022년 11월 18일에 출시된 대역외 업데이트에서 해결되었습니다. 이 문제를 해결하기 위해 업데이트를 설치하거나 환경의 다른 서버 또는 클라이언트 장치를 변경할 필요가 없습니다. 이 문제에 대한 해결 방법이나 완화 조치를 사용한 경우에는 더 이상 필요하지 않으므로 제거하는 것이 좋습니다.
이러한 대역 외 업데이트의 독립 실행형 패키지를 얻으려면 Microsoft 업데이트 카탈로그에서 KB 번호를 검색하세요. 이러한 업데이트를 WSUS(Windows Server Update Services) 및 마이크로소프트 Microsoft Endpoint Configuration Manager로 수동으로 가져올 수 있습니다. WSUS 지침은 WSUS 및 카탈로그 사이트를 참조하세요. Configuration Manger 지침은 Microsoft 업데이트 카탈로그에서 업데이트 가져오기를 참조하세요.
참고 다음 업데이트는 Windows 업데이트에서 사용할 수 없으며 자동으로 설치되지 않습니다.
누적 업데이트:
참고 이러한 누적 업데이트를 설치하기 전에 이전 업데이트를 적용할 필요가 없습니다. 2022년 11월 8일에 릴리스된 업데이트를 이미 설치한 경우 위에 나열된 업데이트를 포함한 이후 업데이트를 설치하기 전에 영향을 받는 업데이트를 제거할 필요가 없습니다.
독립 실행형 업데이트:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (2022년 11월 18일 릴리스됨)
-
Windows Server 2008 SP2: KB5021657
참고
-
이러한 버전의 Windows Server에 대한 보안 전용 업데이트를 사용하는 경우 2022년 11월에 대한 이러한 독립 실행형 업데이트만 설치하면 됩니다. 보안 전용 업데이트는 누적되지 않으며 완전히 최신 상태가 되려면 이전 보안 전용 업데이트를 모두 설치해야 합니다. 월간 롤업 업데이트는 누적되며 보안 및 모든 품질 업데이트를 포함합니다.
-
월간 롤업 업데이트를 사용하는 경우 이 문제를 해결하려면 위에 나열된 독립 실행형 업데이트를 모두 설치하고 2022년 11월 품질 업데이트를 받으려면 2022년 11월 8일에 출시된 월간 롤업을 설치해야 합니다. 2022년 11월 8일에 릴리스된 업데이트를 이미 설치한 경우 위에 나열된 업데이트를 포함한 이후 업데이트를 설치하기 전에 영향을 받는 업데이트를 제거할 필요가 없습니다.
환경 구성을 확인한 후에도 Microsoft 이외의 Kerberos 구현에서 여전히 문제가 발생하는 경우 앱 또는 장치의 개발자 또는 제조업체의 업데이트 또는 지원이 필요합니다.
이 알려진 문제는 다음 중 하나를 수행하여 완화할 수 있습니다.
-
msds-SupportedEncryptionTypes를 비트 단위로 설정하거나 현재 기본값인 0x27로 설정하여 현재 값을 유지합니다. 예시:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
msds-SupportEncryptionTypes를 0으로 설정하면 도메인 컨트롤러가 기본값인 0x27을 사용할 수 있습니다.
다음 단계 Microsoft는 이 문제를 해결하기 위해 노력하고 있으며 다음 릴리스에서 업데이트를 제공할 예정입니다.
용어집
AES(Advanced Encryption Standard)는 DES(데이터 암호화 표준)를 대체하는 블록 암호입니다. AES를 사용하여 전자 데이터를 보호할 수 있습니다. AES 알고리즘을 사용하여 정보를 암호화(암호화)하고 암호를 해독(암호 해독)할 수 있습니다. 암호화는 데이터를 암호 텍스트라는 이해할 수 없는 형식으로 변환합니다. 암호 텍스트를 해독하면 데이터를 일반 텍스트라는 원래 형식으로 다시 변환합니다. AES는 대칭 키 암호화에 사용됩니다. 이는 암호화 및 암호 해독 작업에 동일한 키가 사용됨을 의미합니다. 또한 AES는 블록 암호로, 일반 텍스트와 암호 텍스트의 고정 크기 블록에서 작동하며, 암호 텍스트뿐만 아니라 일반 텍스트의 크기가 이 블록 크기의 정확한 배수여야 합니다. AES는 Rijndael 대칭형 암호화 알고리즘 [FIPS197]로도 알려져 있습니다.
Kerberos는 네트워크를 통해 통신하는 노드가 서로의 ID를 안전한 방식으로 증명할 수 있도록 "티켓"을 기반으로 작동하는 컴퓨터 네트워크 인증 프로토콜입니다.
RC4-HMAC(RC4)는 가변 키 길이 대칭형 암호화 알고리즘입니다. 자세한 내용은[SCHNEIER] 섹션 17.1을 참조하세요.
다른 티켓을 얻는 데 사용할 수 있는 특별한 유형의 티켓입니다. TGT(허용 티켓)는 AS(인증 서비스) 교환에서 초기 인증 후에 획득되므로 사용자는 자격 증명을 제시할 필요가 없지만 TGT를 사용하여 후속 티켓을 얻을 수 있습니다.
