윈도우 공유 폴더 취약점

공유 폴더

윈도우에서 사용하는 공유폴더는 윈도우 사용자들과 사설망을 사용하는 사용자에게 만족스러운 파일 공유 효과를 준다. 이는 사설망의 랜선 최대 속도로 파일을 전송할 수 있으며 친숙한 폴더 내에서 파일들을 관리할 수 있기 때문이다. 주로 문서, 파일 등의 공유와 백업의 용도로 사용되며 용량이 큰 윈도우에 공유 폴더를 설정하여 파일 서버처럼 사용할 수도 있다. 이 공유폴더를 리눅스에서도 공유하기 위해 삼바서버를 사용하여 공유 할 수 있으며 맥에서도 Finder의 설정을 통해 윈도우의 공유폴더와 연결하여 사용할 수 있다. 또한 폴더 공유시 해당 공유폴더에 권한을 부여할 수 있는 고급 설정 기능도 있다.

공유 폴더생성은 폴더 생성 후 [속성 > 공유 > 공유]를 클릭하면 공유폴더로 생성 과정이 시작된다.

공유할 폴더에서 속성

공유할 계정 선택

전체 공유할 경우 Everyone 추가

사설망 내부에서만 공유할 경우 상단 클릭

폴더 공유가 완료된 상태

위의 과정 후 support.apple.com/ko-kr/guide/mac-help/mchlp1659/mac 이 절차대로 진행하면 맥의 경우 윈도우와 폴더 공유가 가능하다.

폴더 공유가 완료된 MAC OS X

폴더 공유가 완료된 윈도우

윈도우의 커맨드에서 net share 입력 시 공유 폴더 항목이 나온다.

위와 같은 간단한 과정으로 폴더를 공유할 수 있으며 타 운영체제와도 쉽게 연결할 수 있어 사설망에서 사용하기에 용이하다.

 

공유 폴더 취약점

공유 폴더는 공격자가 악성코드를 유포하는 경로로 사용될 수 있다. 시스템의 TCP 445 포트를 열어서 사용하기 때문에 공격자 입자에서는 접근할 수 있는 경로가 생긴것이다. 공격자는 포트 스캐닝을 통해 시스템의 어떤 포트가 열려있는지 확인하고 열린 포트들 중 취약점을 찾아서 시스템에 접근을 시도한다. 이때 포트 스캐닝은 허가되지않은 사용자가 할 시 공격행위로 간주되어 처벌받을 수 있다. 따라서 개인적으로 실습환경을 구축하여 진행하는 포트스캐닝을 해야한다. 본 블로그 작성자도 외부에서도 편리한 작업과 웹 서비스 실습을 위해 여러 포트를 개방중인데 이때, 포트 스캐닝을 당할 시 공격자에게 공격할 여지를 줄만한 포트도 존재하여 포트스캐닝은 민감하게 생각한다.

TCP 445 포트는 마이크로소프트 파일 및 프린터 공유 프로그램 서비스가 실행될 때 사용되는 포트이다. SMB라는 기능으로 Server Message Block의 약자이다. SMB는 윈도우에서 파일이나 디렉터리 및 주변기기(프린터, 스케너, 팩스 등)를 공유할 때 사용되는 메시지 형식이다. 이러한 SMB의 취약점은 NetBIOS over TICP/IP 기능으로 공유 폴더에 파일을 복사하거나 삭제하는 등의 공격을 할 수 있는 취약점이다. 공격자는 공격 대상의 포트 스캐닝 중 TCP 445 포트가 열려있는 것을 확인하고 동시에 어떤 운영체제를 사용중인지 확인하여 윈도우 운영체제 사용시 해당 공격을 할 수 있다. IP와 포트를 알게 되었으니 해당 서비스로 접속을 하게되면 사용자의 이름과 비밀번호를 입력하는 과정이 나오게 되는데 이때, 공격자는 사전공격, 무차별 대입 등의 패스워드 크래킹 기법으로 공격을 수행하여 공유폴더에 접근할 수 있다.

 

대응방안

공유 폴더를 굳이 사용할 필요가 없다면 안쓰는게 좋고 TCP 445 포트를 방화벽으로 막아두는게 좋다. 하지만 사용해야될 상황이라면 내부에서만 접근이 가능하게 공유 폴더 설정을 하고 접근 가능 사용자를 지정해주는게 좋다. 또한 외부에서 접근할 수 없게 초기 공유 폴더 생성에서 연결된 내부 네트워크에서만 접속할 수 있도록 설정하는게 좋다.