2023년 8월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점

Akamai 연구원이 보고한 취약점

CVE-2023-35384 — Windows HTML 플랫폼(CVSS 5.4)

이 취약점의 심각도는 낮지만, 그 배경과 결과는 상당히 흥미롭습니다. 벤 바네아(Ben Barnea)는 5월 패치 화요일을 분석하는 과정에서 이 취약점을 발견했으며, 이번 달에 수정되었습니다.

Microsoft는 처음에 CVE-2023-2339‏7 에 패치를 적용했으며, 이는 실제 악용된 Outlook의 심각한 EoP(Elevation of Previlege) 취약점이었습니다. 이 취약점을 통해 공격자는 피해자에게 이메일을 보내고, 자신이 제어하는 자체 서버와의 SMB 연결을 트리거하여 그 결과 NTLM 인증정보를 가로챌(크랙 또는 릴레이 가능) 수 있습니다. 이 취약점은 인증되지 않은 공격자가 인터넷 어디에서나 악용할 수 있는 제로 클릭 취약점이었습니다.

CVE-2023-2339‏7에 대한 수정에는 경로를 로컬, 인트라넷, 인터넷 등으로 분류하는 검사가 추가되었습니다. 이 검사는 특별히 조작된 경로를 제공하여 우회할 수 있으며 이전 블로그 게시물에서 설명 및 증명된 내용과 동일합니다.

이번 달의 CVE-2023-35384 는 Microsoft의 수정을 우회하는 또 다른 취약점입니다. 혼란스러운가요? 정리해 보겠습니다.

CVE-2023-35384의 세부 사항을 공유하고 놀라운 방식으로 악용하는 방법을 시연할 예정이니 게시물을 계속 지켜봐 주시기 바랍니다.

실제 악용된 취약점

CVE-2023-38180 — .NET Core 및 Visual Studio(CVSS 7.5)

이는 DoS 취약점이지만, 이 CVE와 함께 공개된 노트, FAQ 또는 소개가 없습니다. 따라서 근본 원인을 추측하는 것은 거의 불가능합니다. 하지만 공격 기법이 네트워크이기 때문에 몇 가지 단서가 있습니다. 주의: 다음 내용은 순전히 추측한 내용입니다.

로컬에 설치된 Visual Studio 인스턴스에 대한 테스트 결과에 따르면, 이 CVE는 수신 연결을 대기하지 않는 것으로 보입니다(해당 프로세스에서 발신되는 연결은 확인되었음). 따라서 공격 기법은 네트워크를 통해 프로세스에 직접 접근하는 것이 아니라 악의적으로 조작된 파일을 피해자에게 전송해 Visual Studio 및 .NET Core 인스턴스를 충돌시키는 방식일 가능성이 더 높습니다.

Microsoft Message Queuing

이번 달에 패치된 MSMQ(Microsoft Message Queuing) 서비스의 취약점은 11 개입니다. 심각한 9.8 RCE(원격 코드 실행) 취약점 3개, DoS 취약점 6개, 정보 공개 취약점 2개가 발견되었습니다. 

MSMQ 서비스는 Windows의 선택 기능으로, 여러 애플리케이션 간에 메시지를 전달하는 데 사용됩니다. 이 서비스는 선택 사항임에도 불구하고, Microsoft Exchange Server 같은 다양한 Windows용 엔터프라이즈 애플리케이션의 백그라운드에서 사용되고 있습니다. 관측 결과에 따르면, 이 서비스는 작업 환경의 약 69%에 설치되어 있으며 보통 두 대 이상의 머신에 설치된 것으로 나타났습니다

MSMQ 서비스는 포트 1801을 통해 접속할 수 있지만, 많은 클라이언트가 접속하지 않아야 하므로 (주로 엔터프라이즈 애플리케이션 자체에서 사용되기 때문에), 해당 포트 및 서비스에 대한 임의의 네트워크 접속을 제한하는 것을 권장합니다. 허용 목록 정책을 사용해 세그멘테이션하고 실제로 필요한 머신에만 접속할 수 있도록 하시기 바랍니다. 세그멘테이션과 관련하여 도움이 필요한 경우 실용적인 관점에서 바라본 (마이크로)세그멘테이션 (특히 애플리케이션 링펜싱 과 마이크로세그멘테이션 섹션 ) 블로그 게시물을 참조하시기 바랍니다.

Microsoft Exchange Server

이번 달에는 Microsoft Exchange Server에서 6개의 CVE가 발견되었으며, 이 중 4개는 원격 서버에서 원격 코드 실행을 허용하고 나머지 2개는 EoP 또는 스푸핑 취약점입니다. 관측 결과, 사용 환경의 약 28%가 온프레미스 Microsoft Exchange Server를 사용하는 것으로 나타났습니다.

EoP CVE, CVE-2023-21709는 실제로 심각도가 “심각”이 아닌 “중요”로 분류되었음에도 불구하고 CVSS 점수(9.8점)가 가장 높은 CVE입니다. Microsoft에 따르면 이 취약점으로 인해 공격자는 무차별 대입 공격으로 Exchange 사용자의 비밀번호를 알아내고 해당 사용자로 로그인할 수 있습니다. 심각도가 “중요”인 이유는 복잡한 비밀번호를 사용하는 사용자에게는 무차별 대입 공격이 작동하지 않아야 하기 때문입니다. 

이 CVE의 경우 패치만으로는 충분하지 않습니다. Microsoft는 관리자가 패치를 설치한 후 실행해야 하는 추가 스크립트인 CVE-2023-21709.ps1을 제공합니다. 또는 다음 명령을 사용할 수 있습니다.

Microsoft는 또한 스크립트(또는 위의 명령)를 실행하면 패치를 적용하지 않고 취약점을 해결할 수 있다고 언급하지만, Microsoft(와 Akamai)는 가능한 한 빨리 패치를 적용할 것을 권장합니다.

이전에 다루었던 서비스

이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.