최근 Windows 파일 탐색기의 미리보기 창과 관련된 취약점이 발견되었으며, NTLM 암호 해시가 노출될 수 있습니다.이러한 악용 사례를 통해 공격자는 오프라인에서 이러한 자격 증명을 재사용하거나 크래킹할 수 있습니다.이러한 위험에 대응하여 Microsoft는 최신 Windows 업데이트에서 다운로드한 콘텐츠의 파일 미리보기 기능을 비활성화했습니다.이 가이드에서는 파일 탐색기 미리보기를 통한 잠재적인 NTLM 해시 유출을 방지하기 위한 필수 전략을 설명합니다.
파일 탐색기 미리 보기의 취약점 이해
NT LAN Manager(NTLM)는 Microsoft에서 다양한 Windows 계정 및 서비스를 위해 설계한 인증 프로토콜입니다.보안상의 단점으로 인해 Kerberos로 대체되었지만, NTLM은 하위 호환성을 위해 여전히 사용되고 있습니다.하지만 NTLM은 악용될 수 있는 환경을 조성합니다.
공격자는 파일 탐색기의 미리보기 기능을 활용하여 로컬 또는 도메인 비밀번호를 해시된 형태로 노출시킬 수 있는 NTLM 요청을 수행할 수 있습니다.미리보기 중에 파일에 NTLM 요청 관련 명령이 포함된 경우, Windows가 의도치 않게 이러한 요청을 처리하여 해시된 비밀번호를 악성 서버로 전송할 수 있습니다.이후 사이버 범죄자는 오프라인에서 이러한 해시를 크래킹하거나 해시 전달 공격을 실행할 수 있습니다.
Microsoft는 이러한 공격과 관련된 지속적인 위협을 인정했습니다.따라서 최신 업데이트에서는 웹 마크(MoTW)로 식별된 파일(일반적으로 인터넷에서 다운로드한 파일)의 미리보기가 더 이상 표시되지 않습니다.
NTLM 해시 유출로부터 시스템 보호
NTLM 해시 유출, 특히 인터넷 다운로드 파일 유출과 관련된 위험을 최소화하려면 사용자는 특정 보안 조치를 취해야 합니다. Microsoft Defender는 파일 검사만으로는 NTLM 요청 시도를 확실하게 감지하지 못하기 때문입니다.다음은 방어력을 강화하기 위한 실행 가능한 조치입니다.
- Windows 업데이트 유지: 운영 체제를 최신 상태로 유지하세요.10월 14일 보안 업데이트로 인해 MoTW 파일의 미리 보기 기능이 비활성화되었습니다. Windows 11에서는 설정 → Windows 업데이트 로 이동하여 사용 가능한 업데이트를 확인하고 설치하세요.
- 온라인 동작 분석 수행: 일반적인 바이러스 백신 검사로는 유해한 NTLM 요청을 식별하지 못할 수 있습니다.파일이 악성으로 의심되는 경우, 동작 분석 도구를 사용하여 안전한 환경(샌드박스)에서 파일을 열고 동작을 모니터링하십시오.Joe Sandbox 나 MetaDefender 와 같은 도구가 좋은 선택입니다.
- NTLM 자격 증명 보안: NTLM 자격 증명을 보호하기 위한 사전 조치를 취하고 침해 가능성을 크게 줄이십시오.이 가이드에서는 Windows NTLM 자격 증명을 보호하는 자세한 방법을 다룹니다.
- 가상 머신에서 파일 동작 테스트: 메인 시스템에 위험을 초래하지 않고 의심스러운 파일의 동작을 평가할 수 있는 가상 환경을 만드세요. Hyper-V 또는 타사 가상 머신 애플리케이션을 사용하여 미리보기 중에 네트워크 활동을 관찰할 수 있습니다.
- 시스템 전체에서 파일 탐색기 미리 보기 비활성화: 파일 미리 보기를 통한 NTLM 해시 유출을 완전히 방지하려면 미리 보기 처리기를 완전히 비활성화하는 것을 고려해 보세요.파일 탐색기를 열고 ‘더 보기 ‘ 메뉴 에서 ‘옵션’을 선택한 후 ‘보기 ‘ 탭 으로 이동하여 ‘미리 보기 창에 미리 보기 처리기 표시’ 옵션의 선택을 해제하세요.
신뢰할 수 있는 파일을 안전하게 미리 보기
다운로드한 파일이 안전한지 확인하고 최신 Windows 업데이트의 변경 사항에도 불구하고 미리 보려면 파일 차단을 해제해야 합니다.방법은 다음과 같습니다.
파일을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택하세요.일반 탭 에서 보안 섹션을 찾아 변경 사항을 확인하기 전에 차단 해제 확인란 을 선택하세요.이렇게 하면 파일을 미리 볼 수 있습니다.
하지만 파일을 개별적으로 차단 해제하는 것은 번거로울 수 있습니다.일괄 차단 해제를 위해서는 모든 파일이 저장된 지정된 폴더에서 PowerShell 명령을 사용하세요.를 누르고 빈 공간을 마우스 오른쪽 버튼으로 클릭한 다음, “여기서 PowerShell 창 열기”를Shift 선택하세요.
PowerShell에서 아래 명령을 실행합니다.
Get-ChildItem -File | Unblock-File
이렇게 하면 지정된 폴더에 있는 모든 파일의 차단이 해제되고 해당 파일을 미리 볼 수 있습니다.
기본적으로 파일 미리보기가 불가능하다는 점이 불편할 수 있지만, 이러한 조치는 향후 Windows 버전에서 NTLM이 지원 중단될 때까지 보안을 위해 매우 중요합니다.또한, 강력하고 고유한 비밀번호를 지속적으로 사용하면 잠재적인 NTLM 해시 노출로 인한 피해를 최소화하는 데 도움이 될 수 있습니다.
답글 남기기