2022년 12월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Microsoft의 2022년 12월 패치 화요일(Patch Tuesday)이 발표됨에 따라 Akamai Security Intelligence Group은 패치가 완료된 흥미로운 취약점을 조사했습니다. 올해는 크리스마스가 일찍 찾아온 것 같습니다. 12월 업데이트 용량이 이전 달보다 훨씬 더 가볍기 때문입니다. 따라서 연휴 전에 상대적으로 덜 바쁠 것입니다. 적어도 다음 Log4Shell 취약점이 등장할 때까지는 괜찮을 것입니다(좋은 패치가 이미있으니 서둘러 적용하세요!).
이 보고서에서는 취약점의 심각성과 애플리케이션과 서비스에 대한 일반적인 영향을 평가하고 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이 보고서에서는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
이 보고서에서는 영향을 받은 각 서비스에 대해 패치를 적용할 수 없는 경우 모니터링 및 방어에 대한 권장 사항을 제시합니다. 방어는 실제 패치와 같은 수준의 효과는 없으므로 가능하면 시스템에 최신 패치를 적용해야 합니다.
Windows PowerShell
Windows PowerShell은 시스템 관리 및 자동화에 유용한 툴입니다. 대부분의 Windows 버전에서 기본적으로 사용할 수 있습니다. 이번 달에는 한 가지 중요한 CVE 패치인 CVE-2022-41076이 적용됐습니다. CVSS 점수는 8.5입니다. 이 CVE는 실제로 PowerShell Remote에 대한 것입니다. PowerShell은 WinRM 프로토콜을 통한 원격 명령을 지원합니다. 기본적으로 활성화되어 있지는 않습니다. 서버는 PSRemoting을 활성화해야 그러한 접속이나 통신을 할 수 있습니다. CVE 악용에 성공해 인증을 받은 공격자는 PSRemote의 설정을 종료하고 승인되지 않은 명령을 실행할 수 있습니다.
범위
PowerShell Remote 통신은 WinRM을 통해 전달되므로 WinRM 연결을 찾아 사용 범위를 평가할 수 있습니다. 모니터링된 환경에서 77%에는 WinRM이 활성화된 머신이 하나 이상 있었으며, 이러한 네트워크에서는 모니터링된 머신 27%가 WinRM 연결을 수락했습니다. WinRM이 전혀 없는 네트워크와 WinRM이 활성화된 머신이 95% 이상 있는 네트워크도 있었습니다.
일반 권장 사항
가장 중요한 권장 사항은 항상 모든 시스템에 패치하는 것입니다. 즉시 패치할 수 없는 경우 PowerShell Remote의 몇 가지 측면을 사용해 다음과 같은 리스크를 방어할 수 있습니다.
PowerShell Remote 및 WinRM은 기본적으로 활성화되지 않습니다. 따라서 활성화된 머신만 리스크에 노출됩니다. WinRM이 활성화되어 있는지 확인하려면 WinRM 서비스가 실행 중인지 확인하거나 PowerShell 명령 Test-WSMan을 사용합니다. 또한 네트워크 가시성이 있는 경우 기본 WinRM 포트인 TCP 포트 5985 및 5986을 통한 통신을 찾을 수 있습니다.
WinRM이 활성화된 머신의 경우 마이크로세그멘테이션을 사용해 필요한 소스로만 접속을 제한할 수 있습니다(예: IT 직원 또는 서비스만). 이 포트는 기본 WinRM 포트인 TCP 포트 5985 및 5986을 통해 설정할 수 있습니다. 접속을 허용할 사용자나 항목을 결정하려면 네트워크 가시성 툴이나 네트워크 스니퍼를 사용해 기존 통신 패턴을 확인하는 것이 좋습니다.
WinRM이 활성화된 머신을 연결하지 않거나 WinRM을 활성화할 필요가 없다고 판단하는 경우 해당 시스템을 비활성화할 수 있습니다.
가시성과 세그멘테이션을 사용하고 불필요한 서비스 사용을 비활성화해 시스템을 패치할 때까지 CVE의 영향을 크게 줄일 수 있습니다.
Windows Client/Server Run-Time Subsystem
Windows CSRSS(Client/Server Run-time Subsystem)는 Windows 컴퓨터의 다양한 기능을 담당하는 시스템 프로세스입니다. 여기에는 프로세스와 스레드를 만들고 삭제하며, 콘솔 애플리케이션을 지원하는 기능이 포함됩니다.
csrss.exe 프로세스는 매우 중요하기 때문에 모든 Windows 머신에서 시스템이 부팅될 때 시작되며 종료할 수 없습니다. 이 프로세스가 종료되면 끔찍한 블루 스크린(시스템 충돌)이 발생합니다.
이번 달 권한 상승 CVE가 CVE-2022-44673CSRSS에 패치되었습니다. CVSS 점수는 7점이고, '중요'로 표시되어 있습니다. Microsoft의 보고서에 따르면 이 취약점 악용에 성공한 공격자는 시스템 권한을 얻을 수 있습니다.
공격의 복잡성이 '높음'으로 표시되어 있지만 Microsoft는 그 이후로 '악용 가능성이 더 높다'고 보고했습니다. CSRSS는 모든 Windows 머신에서 실행되므로, 패치를 적극 권장합니다.
Microsoft Office
크리스마스에는 선물이 필수이며 Microsoft Office CVE도 이번 달에 좋은 선물을 준비했습니다. 취약점은 10개로, 모두 CVSS 점수는 7.8이고 심각도는 '중요'입니다. 이 취약점은 Visio, OneNote, Microsoft Office Graphics 총 세 가지 제품 및 구성요소에 걸쳐 분산되어 있습니다
공격 기법
모든 CVE는 원격 코드 실행으로 표시되지만 실제로는 ACE(Arbitrary Code Execution) 취약점입니다. 즉, 공격자가 취약점을 직접 악용할 수는 없지만, 소셜 엔지니어링을 통해 사용자를 속여 취약점을 악용하도록 유도합니다. 이 취약점을 성공적으로 악용하려면 사용자나 피해자를 속여서 특수하게 조작된 파일을 다운로드한 다음 취약한 소프트웨어에서 열게 만들어야 합니다.
최종 사용자가 소셜 엔지니어링 악용 시도에 대해 경계를 유지하면 악용 리스크를 줄일 수 있습니다. 최종 사용자가 크리스마스 사기에 당하지 않게 하세요. 그렇지 않으면 휴일에 네트워크에 있는 문제를 해결하기 위해 출근해야 할 수 있습니다. 또한 이러한 애플리케이션은 일반적으로 서버에 상주하지 않습니다. 따라서 사용자 다운타임이 서버 다운타임보다 비용이 적게 들기 때문에 사용자 엔드포인트를 실제로 패치하는 것이 더 쉬울 수 있습니다.
CVE
CVE 번호 |
구성요소 |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
기존 지원 서비스
이번 달 패치 화요일에 발표된 많은 CVE는 이미 과거에 다룬 시스템에 대한 것으로, 이에 대한 새로운 해결 방법은 없습니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있으신 경우, 이전 게시물을 확인해 보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 |
|---|---|---|---|
원격 코드 실행 |
목록 관리 권한으로 인증됨 |
||
원격 코드 실행 |
네트워크 |
||
원격 코드 실행 |
인증된 연결 (WCF TCP를 통해) |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다.
