Windows KDC Proxy 원격 코드 실행 취약점(CVE-2024-43639) 분석

Windows KDC Proxy RCE Vulnerability Allows Remote Server Takeover

Windows KDC Proxy RCE Vulnerability Allows Remote Server Takeover

 

• 취약점 개요
  • CVE-2024-43639는 Windows KDC Proxy의 ASN.1 인코딩 처리 과정에서 발생하는 메모리 손상 기반의 원격 코드 실행(RCE) 취약점
  • CVSS 점수 9.8로 매우 치명적인 수준이며, 인증되지 않은 원격 공격자가 대상 서버를 완전히 장악할 수 있음
  • Kerberos 인증 트래픽을 프록시하는 KDC Proxy 컴포넌트에서 응답 메시지의 길이 검증 실패로 인해 발생
• 주요 영향 대상
  • Windows Server에서 KDC Proxy 구성이 활성화된 환경
  • 하이브리드 Azure AD, Remote Desktop Services(RDP 게이트웨이), DirectAccess VPN 사용 조직
  • 도메인 컨트롤러와의 통신을 프록시하는 모든 시스템
• 기술적 세부사항
  • KDC Proxy는 Kerberos 메시지를 ASN.1 구조로 HTTPS에 포장하여 송수신함
  • 응답 메시지 처리 시 길이 값에 대한 유효성 검증 없이 msasn1.dll 라이브러리의 KpsDerPack(), ASN1BEREncLength() 함수를 사용
  • 공격자는 4,294,966,267 ~ 4,294,967,295 바이트 사이의 메시지 길이를 가진 위조 Kerberos 응답을 통해 integer overflow 유발
    • 메모리 할당 크기 오류로 인해 힙 손상 발생
    • memcpy() 호출 시 실제 버퍼 크기보다 큰 데이터를 복사해 원격 코드 실행 가능
• 공격 조건 및 방법
  • 공격자는 KDC Proxy를 악성 도메인 컨트롤러에 연결하도록 유도
  • 조작된 Kerberos 응답 메시지를 반환해 메시지 길이 필드에 비정상적 값 삽입
  • 정상적인 Kerberos 구조처럼 보이도록 구성해 표면적 검증을 우회
  • 성공 시 SYSTEM 권한 획득, 자격 증명 탈취 및 도메인 내부 측면 이동(lateral movement) 가능
• 보안 패치 및 보안 권고
  • Microsoft는 2025년 3월 Patch Tuesday에서 취약점을 수정
    • Server 2022: KB5035845
    • Server 2019: KB5035846
  • KpsSocketRecvDataIoCompletion() 함수에서 길이 필드에 대한 검증 추가
  • 보안 권고
    • KDC Proxy 서버에 대한 네트워크 분리 및 접근 제어 강화
    • TCP 88번 포트로 수신되는 초과 메시지 모니터링
    • UDP 389번 포트를 통한 LDAP ping 트래픽 이상 여부 점검
    • DC 통신 흐름을 주기적으로 감사
• 결론
  • Kerberos는 엔터프라이즈 인증 시스템의 핵심이므로 KDC Proxy 구성 요소에 대한 검증은 필수
  • 이 취약점은 도메인 전반의 보안 위협으로 확대될 수 있으므로 긴급한 패치 적용이 필요
  • CISA는 해당 취약점을 Known Exploited Vulnerabilities Catalog에 추가했으며, 2025년 4월 5일까지 연방기관 대응 의무화
  • 지연된 패치 적용, 취약점 역공학, 패치 불가 레거시 시스템이 잔존 위협으로 남을 수 있으므로 지속적인 모니터링 및 방어체계 강화가 요구됨