불완전한 패치로 인한 Net-NTLMv2 Hash 유출 취약점 분석

Windows Shell Vulnerability CVE-2026-32202 Moves From Patch Note to Active Threat

Abhay Negi2026년 4월 28일5분advanced

AI 요약

Context

CVE-2026-21510 패치 과정에서 SmartScreen 보호 로직만 추가하고 원격 경로 처리 및 인증 프로세스를 완전히 해결하지 못한 설계상 허점 발생. Windows Shell의 리모트 파일 경로 처리 메커니즘이 공격자의 외부 서버 인증을 자동 유도하는 구조적 한계를 노출함.

Technical Solution

LNK 파일 내 리모트 리소스 참조를 통한 Outbound SMB 연결 유도
원격 경로 해석 과정에서 발생하는 자동 NTLM Authentication Handshake 메커니즘 악용
Net-NTLMv2 Hash를 공격자 서버로 전송하게 만드는 Spoofing 공격 구조 설계
CVE-2026-21510, CVE-2026-21513 취약점을 결합한 Exploit Chain 구성을 통한 다층 방어 체계 무력화
시스템 직접 제어 대신 인증 메커니즘을 타깃팅하여 탐지 회피 및 Lateral Movement 기반 마련

실천 포인트

- 외부 SMB 연결 제한을 위한 Outbound 포트 제어 및 방화벽 정책 검토 - NTLM 인증 체계의 완전한 제거 또는 Kerberos 등 보안성이 강화된 인증 프로토콜 전환 - LNK 파일 등 외부 유입 파일의 리모트 경로 해석 권한 제한 설정 - 인증 로그 모니터링을 통한 비정상적인 NTLM 핸드셰이크 패턴 탐지 체계 구축

태그

#NTLMv2 Hash #Windows Shell #SMB #Spoofing #Exploit Chain

원문 읽기