파이어아이, 마이크로소프트 AD FS 위협 분석 보고서 발표

파이어아이가 마이크로소프트365 이용 기업을 표적으로 하는 AD FS(Active Directory Federation Services) 서버 사이버 위협 분석 보고서를 발표했다.

많은 조직이 사내 네트워크와 시스템을 대상으로 운영하던 사용자 인증 체계를 클라우드까지 확장하는 것을 진행 또는 고려하고 있다. 이에 프레미스와 클라우드를 모두 수용하는 사용자 인증 기반으로 널리 쓰이는 AD FS 서버에서 토큰 서명 인증서를 탈취하는 사이버 공격이 증가했다.

공격자는 적절한 권한을 탈취할 시 내부 네트워크의 어느 곳에서나 암호화된 토큰 인증서를 추출한 다음 쉽게 암호를 해독하고 클라우드 서비스에 액세스할 수 있다. 파이어아이는 공격자들이 AD FS서버에서 토큰 서명 인증서를 탈취해 윈도우 기능을 악용하는 방법에 대해 이전에 알려지지 않았던 정보를 공개했다.

AD FS 서버를 통한 공격

조직이 클라우드 기반 서비스를 사용하여 애플리케이션과 데이터를 관리 및 운영함에 따라 장기간 유효한 마이크로소프트365 권한에 대한 정교한 공격자들의 관심이 증가했다. 최근 UNC2452 공격그룹이 마이크로소프트365에 액세스하는 TTPs를 사용하면서 이와 같이 액세스 권한을 노리는 새롭고 탐지하기 어려운 전술에 대한 관심이 증가했다.

이 공격 전술은 AD FS 서버에서 토큰 서명 인증서를 탈취해 다중 인증(MFA)을 우회하여 피해 조직의 클라우드 서비스에 자유롭게 액세스한다.

AD FS는 사용자 계정 또는 애플리케이션이 서로 다른 네트워크상에서 관리 및 운영하는 환경에서 SSO를 이용해 네트워크 경계를 넘어 자유롭게 여러 위치에 있는 서비스에 접근할 수 있도록 하는 ID 액세스 기술이다.

AD FS는 최근 기업들의 주요 클라우드 전환 방향인 하이브리드 환경 구축에 있어 필수적인 ID 관리 인프라 역할을 하고 있으며, 마이크로소프트365의 경우, AD FS가 발행한 보안 보장 생성 언어(Security Assertion Markup Language; 이하 SAML) 토큰으로 사용자 신원을 증명하고 권한을 부여한다.

AD FS 서버가 표적이 되는 이유

AD FS 보안은 SAML 기반 토큰 서명 인증서(Token Signing Certificate)이다. 마이크로소프트365는 디지털 서명을 사용해 SAML 토큰이 신뢰할 수 있는 AD FS 서버에서 온 것을 확인한다. 이 확인 과정을 활성화하기 위해 관리자는 토큰 서명 인증서의 공용 구성 요소를 마이크로소프트365와 공유한다.

이후 SAML 토큰의 디지털 서명을 암호화 방식으로 확인하고 토큰의 신뢰성과 무결성을 증명하는 데 사용하는데, 만약 공격자가 토큰 서명 인증서를 보유한다면 공격자는 임의의 SAML 토큰을 생성해 AD FS에 연계된 모든 애플리케이션과 서비스에 접근하고 다중 인증을 우회할 수 있다.

AD FS를 통한 남용 가능성으로 공격자는 액티브 디렉토리의 DCSync 기술과 유사하게 WCF 서비스인 Policy Store Transfer Service를 악용해 암호화된 토큰 서명 인증서를 획득할 수 있다. 그리고 AD FS 복제 서비스(Replication service)를 악용할 수도 있다.

AD FS의 권한 부여 정책도 남용의 기회를 제공한다. 권한 부여 정책은 구성 데이터베이스에 XML 텍스트로 저장되는데, 공격자가 이를 필요에 맞게 수정할 가능성이 있다. 이렇게 하면 공격자는 토큰 서명 인증서를 쉽게 획득해 사용자 자격 증명을 해독할 수 있다.

맨디언트는 해당 공격 방법이 실제로 사용되는 것은 아직 관찰하지 못했다. 하지만 POC 코드(Proof of Concept Code)를 작성하는 것이 매우 쉬운 만큼 곧 해킹 도구가 이를 지원할 것으로 예상하고 있다. 이에 파이어아이는 위협을 완화하는 방법으로 윈도우 방화벽을 사용해 80 포트에 대한 TCP 액세스를 팜 내에 있는 AD FS 서버로 제한하라고 조언한다.

이향선기자 hslee@nextdaily.co.kr

[알림] 전자신문인터넷과 넥스트데일리는 오는 6월 3일 목요일 오전 9시 30분부터 오후5시까지 “2021 스마트 디지털 워크스페이스 이노베이션” 무료 온라인 콘퍼런스를 개최한다. 이번 콘퍼런스에서는 디지털 워크스페이스 분야 글로벌 기업들의 최신 기술과 실무적용 노하우 및 성공사례가 자세히 소개된다. 비대면 시대에 변화된 기업 업무 환경의 생산성과 효율성을 극대화하는 방법도 제시된다.

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지