2024년 8월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
최근 라스베이거스는 모든 것을 악용하는 해커들로 넘쳐납니다. 무법천지의 서부 시대가 재현되고 있습니다. 이번 화요일 패치에서 여섯 개의 취약점이 인터넷에서 악용되는 것이 발견되었기 때문입니다. 2024년 8월 패치 화요일에 공개된 89개의 CVE 중 네 개는 일반에 공개되었고 한 개는 Black Hat에서 발표되었습니다. 이번 달에는 권고 사항도 하나 포함되었습니다.
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
인터넷에서 발견된 취약점
CVE-2024-38178 - 스크립팅 엔진 메모리 손상(CVSS 7.5)
Windows 스크립팅 언어는 Windows 내에서 VBScript, 자바스크립트 등의 여러 스크립트 언어 구현을 참조할 수 있습니다. jscript9.dll 파일이 변경된 것을 발견했기 때문에 수정된 취약점은 JScript 구성요소에 있는 것으로 추정합니다.
JScript는 자바스크립트의 기반이 되는 표준이자 Internet Explorer에서 사용되는 것과 동일한 표준인 ECMAScript를 Microsoft에서 구축한 것입니다. Chakra 또한 JScript에서 파생된 자바스크립트 엔진이며 Microsoft Edge Legacy에서 사용됩니다(최신 버전의 Edge는 Chromium 기반). 두 가지 모두 DLL로 구축되며, 각기 간단하게 jscript9.dll과 chakra.dll이라는 이름이 붙어 있습니다.
이 권고에 따르면, 공격을 받으려면 피해자가 링크를 클릭하고 Internet Explorer 모드에서 Edge를 사용해야 합니다. 이 취약점은 Office를 통해 다른 방식으로도 트리거될 수 있는 것으로 추정됩니다.
CVE-2024-38213 - Windows Mark of the Web(CVSS 6.5)
이 취약점은 2024년 6월에 수정되었지만 2024년 8월이 되어서야 권고가 발표되었다는 점에 유의하세요.
이는 웹에서 다운로드한 잠재적 악성 파일을 열 때 SmartScreen 보안 경고를 건너뛰는 보안 우회 취약점입니다. 이 시나리오에서 Windows SmartScreen은 경고 화면을 표시해야 합니다. 이 취약점을 악용하려면 공격자가 Windows SmartScreen이 파일을 검사하지 못하게 하고 경고 화면을 우회하는 방식으로 파일을 조작해야 합니다.
SmartScreen 우회 취약점이 공격자에 의해 적극적으로 악용된 것은 이번이 처음이 아닙니다. 2023년 11월과 2024년 2월 패치에는 활발하게 악용되는 것으로 보고된 우회 취약점에 대한 수정 사항도 포함되어 있습니다.
또한, 인터넷에서 악용되는 다른 취약점도 네 개 있었습니다.
Windows TCP/IP
Windows의 TCP/IP 스택은 운영 체제 네트워킹 기능의 핵심 구성요소입니다. 인터넷 및 대부분의 로컬 네트워크를 통한 통신의 기반이 되는 TCP/IP 프로토콜 제품군을 사용해 네트워크 간 데이터 전송을 처리합니다.
Windows 운영 체제에서 TCP/IP 스택은 tcpip.sys 드라이버에 구축됩니다. 이 커널 모듈은 IPv4 및 IPv6와 같은 전송 레이어를 통한 TCP를 비롯한 네트워크 프로토콜을 처리하는 역할을 담당합니다.
CVE-2024-38063 (CVSS 9.8)은 이 네트워크 스택의 중요한 취약점으로 비인증 공격자 가 원격 코드 실행으로 이어질 수 있는 특수하게 조작된 IPv6 패킷을 전송할 수 있게 해 줍니다.
Microsoft Security Response Center 팀의 주목할 만한 블로그 게시물에서는 이 구성요소에서 이전에 발견된 CVE에 대해 설명하며, 악의적으로 조작된 패킷을 사용하여 원격 코드 실행(RCE) 및 서비스 거부(DoS) 공격이 이루어질 수 있다고 합니다. CVSS는 이전 결과와 달리 공격 복잡성(AC:L)이 낮다는 것을 나타냅니다.
Microsoft에 따르면 IPv6를 비활성화한 머신은 이 취약점으로부터 보호된다고 합니다. IPV6의 광범위한 사용, 공격의 낮은 복잡성, 인증되지 않은 공격자가 접속할 수 있다는 사실 때문에 악의적인 공격자가 이 취약점을 사용할 수 있다고 생각되므로 머신에 패치를 적용하세요!
다음 osquery를 사용해 활성화되어 있고 IPv6 주소를 가진 네트워크 어댑터를 탐지할 수 있습니다.
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Windows Network Virtualization
WNV(Windows Network Virtualization)는 가상머신(VM)이 서로 다른 서브넷이나 물리적 네트워크에 있을 때에도 동일한 서브넷에 있는 것처럼 통신할 수 있도록 하는 Hyper-V 네트워크 가상화 프레임워크 내의 기능입니다. 이는 가상 네트워크를 물리적 네트워크에서 분리해 네트워크 설정을 변경하지 않고도 VM이 물리적 호스트 간에 이동할 수 있도록 함으로써 이루어집니다.
WNV는 패킷 캡슐화를 위해 NVGRE(Network Virtualization Generic Routing Encapsulation) 또는 VXLAN(Virtual Extensible LAN)을 사용해 클라우드 환경에서 격리, 확장성, 멀티 테넌트 지원을 제공합니다.
CVE-2024-38159 와 CVE-2024-38160 모두 게스트에서 호스트로의 탈출로 이어질 수 있으며, 이는 결국 RCE로 끝날 수 있습니다. 두 취약점 모두 CVSS가 9.1이지만, Windows Server 2016 및 Windows 10(1607)에만 영향을 미칩니다.
Microsoft는 Hyper-V 머신을 VMware와 같은 다른 가상 플랫폼 내에서 실행하거나 Hyper-V 기반 가상화를 완전히 포기해 취약점을 방어할 것을 제안합니다.
Windows RRAS(Routing and Remote Access Service)
RRAS(Routing and Remote Access service) 는 운영 체제가 라우터처럼 작동해 VPN이나 전화 접속을 통한 사이트 간 연결을 허용하도록 하는 Windows 서비스입니다. 이번 달에는 이 서비스에서 세 개의 취약점이 발견되었으며, 그 중 다섯 개의 취약점은 CVSS 점수가 8.8점입니다.
패치 노트에는 RCE 취약점이 의심하지 않는 클라이언트의 악성 서버에 의해 트리거된다는 것 외에는 많은 정보가 나와 있지 않습니다. 따라서 제로 트러스트와 세그멘테이션을 통해 이러한 취약점으로 인한 리스크를 일부 방어할 수 있습니다.
RRAS는 모든 Windows 서버에서 사용할 수 있는 것은 아니며, 원격 접속 역할의 일부로 제공되어 별도 설치가 필요합니다. 모니터링 중인 환경의 약 12%에 Remote Access 역할이 설치된 Windows 서버가 있는 것으로 나타났습니다.
Microsoft Outlook
Outlook 취약점이 없는 패치 화요일은 없을 것 같습니다. CVE-2024-38173 은 Outlook의 RCE 취약점입니다. 미리보기 창이 공격 기법이긴 하지만 이 취약점은 피해자의 인증정보를 필요로 합니다.
취약점을 트리거하기 위해 악성 양식이 Exchange에 업로드됩니다. 피해자의 Outlook이 Exchange와 동기화되면 악성 양식을 다운로드해 피해자의 머신에서 코드 실행으로 이어질 수 있습니다. 이 취약점은 Morphisec에서 발견했으며 CVE-2024-30103과 유사한 것으로 추정됩니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.