2024년 4월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
이드 알피트르, 행복한 부활절, 유월절 되세요. 전통적으로 휴일이 많은 4월을 맞아, CVE가 만약 선물이라면 Microsoft는 제대로 휴가 분위기를 내고 있다고 볼 수 있겠습니다. 2024년 4월 패치 화요일에는 총 147개의 CVE가 있으며, 그 중 3개는 Microsoft Defender for IoT의 중요한 취약점으로 포함되었습니다. 악성 페이로드에 서명하는 데 사용되는 Microsoft 인증서라는 CVE도 있었습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 다음 영역에 대한 버그 패치를 중점적으로 살펴보고 있습니다.
프록시 드라이버
Sophos X-Ops는 정상적인 페이로드로 가장하기 위해 Microsoft Windows 하드웨어 호환성 게시자 서명으로 서명된 악성 페이로드를 탐지했습니다. 이를 Microsoft에 보고했고 CVE-2024-26234 는 더 이상 신뢰할 수 있는 것으로 통과하지 못하도록 관련 인증서를 취소했습니다.
Insight를 사용하면 영향받은 시그니처로 서명된 페이로드를 추적할 수 있습니다. 우려되는 고객은 다음 쿼리를 실행해 해지된 인증서로 서명된 프로세스가 실행 중인지 확인할 수 있습니다.
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender for IoT
Microsoft Defender for IoT는 IoT(Internet of Things) 디바이스, 산업 제어 시스템 및 운영 기술과 같은 산업용 네트워크 구성요소의 보안을 지원하는 플랫폼입니다. 이번 달에 3가지 중요한 RCE(Remote Code Execution) 취약점과 3가지 중요한 EoP(Elevation of Privilege) 취약점이 패치되었습니다.
취약점은 그 자체로 Defender for IoT 스택의 여러 구성요소에 영향을 미칩니다. CVE-2024-21322는 포털 웹 애플리케이션을 통해 악용되는 RCE이며 CVE-2024-21323 은 센서 업데이트 패키지를 통해 악용되는 RCE입니다. 모든 취약점은 구성요소에 관계없이 네트워크를 통해 악용될 수 있으며 네크워크 세그멘테이션을 사용해 일부 리스크를 탐지하거나 방어할 수 있습니다.
CVE 번호 |
영향 |
|---|---|
원격 코드 실행 |
|
권한 상승 |
|
Windows RRAS(Routing and Remote Access Service)
RRAS(Routing and Remote Access service) 는 운영 체제가 라우터처럼 작동해 VPN이나 전화 접속을 통한 사이트 간 연결을 허용하도록 하는 Windows 서비스입니다. 이번 달에는 이 서비스에서 3가지 중요한 취약점이 발견되었으며, CVSS 점수는 모두 8.8점입니다. 패치 노트에는 RCE 취약점이 의심하지 않는 클라이언트의 악성 서버에 의해 트리거된다는 것 외에는 많은 정보가 나와 있지 않습니다. 따라서 제로 트러스트와 세그멘테이션을 통해 이러한 취약점으로 인한 리스크를 일부 방어할 수 있습니다.
RRAS는 모든 Windows 서버에서 사용할 수 있는 것은 아니며, 원격 접속 역할의 일부로 제공되어 별도 설치가 필요합니다. 관찰 결과, 모니터링 환경의 약 12%에 Remote Access 역할이 설치된 Windows 서버가 있는 것으로 나타났습니다.
이번 달 패치에는 RRAS 외에도 Remote Access Connection Manager의 여러 CVE가 포함되었습니다. Connection Manager는 RRAS에 대한 연결 프로필을 구성하는 데 사용되기 때문에 두 서비스는 서로 연관되어 있습니다.
CVE 번호 |
구성요소 |
영향 |
|---|---|---|
RRAS |
원격 코드 실행 |
|
Connection Manager |
권한 상승 |
|
정보 유출 |
||
Windows 인증
Windows 인증은 Windows에서 여러 인증 방법, 프로토콜, 공급업체를 지원하기 때문에 다소 광범위한 용어입니다. Windows 인증에 있는 2개의 CVE는 완전히 다른 두 가지 구성요소에 대한 것입니다.
CVE-2024-21447 은 부적절한 디렉터리 제한으로 인한 사용자 관리자 서비스의 EoP 취약점입니다. 이는 부분적으로 수정된 것으로 보이는 CVE-2023-36047을 우회하는 것입니다. 그러나 FAQ 섹션 및 관련 Knowledge Base 문서에 따르면
CVE-2024-29056은 Kerberos PAC 유효성 검사 구축의 문제인 것으로 보입니다 . 또한 다른 Kerberos CVE와도 관련이 있을 수 있습니다.
CVE 번호 |
구성요소 |
영향 |
|---|---|---|
사용자 관리자 |
권한 상승 |
|
Kerberos PAC 유효성 검사 |
||
Windows Kerberos |
서비스 거부 |
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
정보 유출 |
로컬 |
||
원격 코드 실행 |
로컬, 사용자 상호 작용 필요 |
||
Network |
|||
보안 기능 우회 |
네트워크, 사용자 상호 작용 필요 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.