2024년 7월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
7월에는 여러 국가가 독립기념일을 기념하는데, CVE의 폭발적인 증가보다 이를 기념하는 더 좋은 방법은 없을 듯합니다. 2024년 7월 패치 화요일에는 137개의 취약점이 패치되었으며, 그 중 Microsoft Sharepoint Server, Windows Remote Desktop Licensing Service , Windows Codecs Library에서 5개의 중요 취약점이 패치되었습니다.
또한 Windows Hyper-V의 EoP(Elevation of Privilege) 취약점과 Windows MSHTML Platform 의 스푸핑 취약점이 보고되었으며, Windows 테마 의 취약점(Akamai 연구원 토머 펠레드(Tomer Peled) 가 보고)에 대한 패치도 배포되었습니다.
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
인터넷에서 발견된 취약점
CVE-2024-38080 - Windows Hyper-V(CVSS 7.8)
Windows Hyper-V는 Windows의 기본 하이퍼바이저입니다. 단일 호스트 머신에서 가상 머신(게스트)을 호스팅할 수 있습니다. 가상화는 하드웨어 비용을 절감해 주기 때문에 엔터프라이즈 네트워크에서 널리 활용됩니다.
관찰 결과, 84%의 환경에 Hyper-V가 활성화된 머신(호스트)이 있었습니다.
CVE-2024-38080 은 공격자가 악용에 성공한 후 시스템 권한을 획득할 수 있는 로컬 EoP 취약점입니다. 이 취약점이 호스트 머신에 존재하는지 아니면 게스트 머신에 존재하는지, 그리고 어떻게 악용되는지는 아직 명확하지 않습니다. Microsoft는 인터넷에서 이 취약점의 성공적인 악용 사례가 탐지되었다고 밝혔습니다.
탐지
Hyper-V 호스트를 탐지하고자 할 때는 다음 osquery를 사용할 수 있습니다.
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Akamai Guardicore Segmentation 고객은 Insight 기능을 사용해 이 쿼리를 실행할 수 있습니다.
CVE-2024-38112 - Windows MSHTML 플랫폼(CVSS 7.5)
MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM(Component Object Model) 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer, Microsoft Edge의 Internet Explorer 모드, Microsoft Outlook, 기타 다양한 프로그램에서 사용됩니다.
과거에는 MSHTML 플랫폼에서 여러 취약점이 발견되었으며(Akamai 연구원이 발견한 취약점 포함), 방어 메커니즘을 우회할 수 있고 Windows에 내장된 기능이라는 점 때문에 공격자들에게 매력적인 악용 표적이 되고 있습니다.
CVE의 기술적 분석에 대한 자세한 내용은 하이페이 리(Haifei Li) 의 블로그 게시물 에 자세히 설명되어 있습니다.
Akamai 연구원이 발견한 취약점
CVE-2024-38030 - Windows 테마(CVSS 6.5)
Microsoft 테마는 특히 아이콘이나 글꼴을 표시하는 방식을 사용자가 변경할 수 있는 Windows 기능입니다. Windows에 내장되어 있습니다.
Akamai 연구원 토머 펠레드(Tomer Peled) 가 발견한 CVE-2024-38030은 CVSS 점수가 6.5인 스푸핑 취약점으로 분류됩니다. 이 취약점을 성공적으로 악용하면 CVE-2024-21320(역시 펠레드가 발견 )한 패치도 우회할 수 있습니다.
CVE-2024-21320 용 패치는 테마 파일의 지정된 경로가 UNC 경로인지 확인하는 PathIsUNC 함수를 도입했습니다. Microsoft에게는 불행하게도 이미 제임스 포쇼(James Forshaw)가 이 기능을 우회하는 방법을 논의 한 바 있습니다. 이 우회 방법이 Windows 기능을 악용하는 데 사용된 것은 이번이 처음으로 보입니다.
Windows Remote Desktop Licensing Service
Windows Remote Desktop Licensing Service는 Windows RDS(Remote Desktop Services) 배포의 일부로 사용됩니다. RDS는 사용자를 위한 가상 원격 데스크톱을 배포하고 관리하기 위한 가상화 솔루션입니다.
Licensing Service는 데스크톱 서비스를 통해 생성된 가상 데스크톱에 연결하는 데 필요한 클라이언트 접속 라이선스를 발급하고 관리하는 데 사용됩니다.
이번 달에는 Windows Remote Desktop Licensing Service에서 세 가지 중요한 원격 코드 실행 취약점과 네 가지 서비스 거부 취약점이 발견되었습니다.
| CVE 번호 | 영향 |
|---|---|
| CVE-2024-38077 | 원격 코드 실행 |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | 서비스 거부 |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
방어
Microsoft는 더 이상 사용하지 않는 경우 서비스를 비활성화할 것을 권장합니다. 클라우드로 이전하는 기업이 늘어나면서 RDS 배포도 클라우드로 이전해 온프레미스 라이선싱 서버가 더 이상 필요하지 않을 수 있습니다. 관찰 결과, 50%의 환경에 Remote Desktop Licensing Service(TermServLicensing)을 실행 중인 서버가 있었습니다.
다음 osquery를 사용해 서비스 및 해당 상태를 탐지할 수 있습니다.
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
또한 Licensing Service는 RPC(Remote Procedure Call)를 통해 네트워크에 접속할 수 있습니다. 이처럼 임시 포트와 이름 파이프(\\pipe\\HydraLsPipe)를 통신에 사용하므로 시간이 지나면 추적하기 어려울 수 있습니다. ETW(Event Tracing for Windows)를 사용해 RPC 트래픽을 모니터링하거나 RPC 필터를 사용해 RPC 인터페이스에 대한 접속을 제한할 수 있습니다. 인터페이스 UUID는 {3d267954-eeb7-11d1-b94e-00c04fa3080d}입니다.
Microsoft Windows Codecs Library
The Microsoft Windows Codecs Library는 Windows에 내장된 코덱입니다. 코덱은 이미지, 비디오, 오디오, 글꼴과 같은 다양한 미디어 포맷을 인코딩 및 디코딩하는 데 사용됩니다.
이번 달에는 중대한 원격 코드 실행 취약점 CVE-2024-38060이 발견되었으며, FAQ에 따르면 이 취약점은 악성 TIFF 이미지를 서버에 업로드해 악용할 수 있습니다. TIFF 코덱은 WIC(Windows Imaging Component) 의 일부이며 Windows에 내장되어 있습니다. 따라서 모든 Windows 설치 및 WIC를 사용해 TIFF 이미지를 구문 분석하는 모든 프로그램에 영향을 미칩니다.
다음 osquery를 사용하면 코덱 라이브러리 DLL을 로드한 프로세스를 탐지할 수 있습니다.
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
또한 두 가지 정보 공개 CVE가 있습니다. CVE-2024-38055 는 Windows Kernel 메모리의 일부를 노출하며 CVE-2024-38056 은 힙 메모리의 일부와 아마도 코덱 라이브러리를 사용하는 프로세스의 일부를 노출할 수 있는 것으로 보입니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday)블로그 게시물의 내용을 살펴보시기 바랍니다.
| 서비스 | CVE 번호 | 영향 | 필요한 접속 권한 |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | 원격 코드 실행 | 네트워크, 사이트 소유자 권한 |
| CVE-2024-38024 | |||
| CVE-2024-32987 | 정보 유출 | 네트워크, 인증 필요 | |
| Windows Cryptographic Services | CVE-2024-30098 | 보안 기능 우회 | 네트워크, SHA1 충돌 필요 |
| Windows iSCSI | CVE-2024-35270 | 서비스 거부 | 로컬 네트워크 |
| DHCP 서버 서비스 | CVE-2024-38044 | 원격 코드 실행 | 네트워크, 특정 DHCP 권한 필요(DHCP admin으로 추정) |
| Microsoft Defender for IoT | CVE-2024-38089 | 권한 상승 | 네트워크 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.