이원영 기자
윈도에선 UI 색상과 사운드, 마우스 커서, 벽지 등을 자유롭게 정의한 조합인 사용자 테마를 만들 수 있으며 위도 사용자는 운영체제 모양을 바꾸기 위해 필요에 따라 다른 테마로 전환할 수 있다. 이런 윈도10 테마를 이용해 공격을 실행해 아무 것도 모르는 사용자가 윈도 계정 인증 정보를 훔칠 수 있게 될 우려가 있다고 지적되고 있다.
윈도 테마 설정은 특정 확장자(.theme) 파일로 티렉터리(\AppData\Microsoft\Windows\Themes)에 저장되어 있다. 또 활성 테마를 오른쪽 클릭해 테마를 저장하고 공유를 선택하면 테마는 특정 확장자(.deskthemepack) 파일에 패키징해 다른 사용자와 공유할 수 있다. 이런 테마 패키지는 이메일로 공유하거나 웹사이트에서 내려 받아 설치할 수 있다.
2020년 9월 6일 보안 연구인인 지미 베인은 윈도 사용자 지정 테마를 사용해 경로에 패스더해시(Pass-the-Hash) 공격을 수행할 가능성이 있다고 지적했다. 패스더해시 공격은 인증을 필요로 하는 원격 SMB 공유에 액세스하기 위해 사용자를 속여 윈도 로그인명과 암호 해시를 훔치는 것이다.
공격자는 사용자 정의 테마 배경화면에 원격 인증이 필요한 자원을 설정한다. 보통 원격 인증이 필요한 리소스에 액세스하려고 하면 윈도는 자동으로 윈도 사용자 로그인명과 암호를 NTLM 해시를 보낸다. 공격자는 사용자 정의 테마를 이용해 인증 정보를 획득하고 특수 스크립트를 이용해 암호를 평문화할 수 있다. 4초 정도면 NTLM 해시를 해독할 수 있다고 한다.
마이크로소프트는 윈도10에서 PC에 설정하는 로컬 계정이 아닌 마이크로소프트 각종 서비스에 액세스하는데 사용하는 마이크로소프트 계정을 사용하는 걸 권장하고 있다. 따라서 공격자는 훔친 계정 정보에서 마이크로소프트가 제공하는 각종 서비스에 액세스할 수 있게 될 것으로 경고하고 있다. 연구원은 시스템 보호 관점에서 윈도10 테마 기능을 비활성화할 수 있지만 특정 확장자명(.theme, .themepack, .desktopthemepackfile)을 가진 파일을 차단하거나 연결을 변경할 걸 권장한다.
또 윈도10 프로의 경우 그룹 정책을 편집해 NTLM 자격 증명이 전송되지 않도록 설정할 수 있다. 하지만 윈도10 홈은 레지스트리값을 편집해야 한다. 그 밖에 마이크로소프트 계정에 다단계 인증을 추가해두면 자격 정보를 도난당할 경우에도 공격자가 원격으로 액세스할 수 없게 된다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
