2023년 12월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
올해 마지막 패치 화요일입니다. 이번 달에 패치된 CVE가 33개에 불과한 것은 아마도 Microsoft가 연휴 기간 동안 쉬기 때문인 것 같습니다. 하지만 Akamai는 쉬지 않았습니다. 이번 패치에는 Akamai 직원 벤 바네아(Ben Barnea)의 CVE가 포함되었습니다.
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다. 이번 달에 패치된 33개의 CVE 중 4개는 치명적이며(RCE[Remote Code Execution]는 3개만 가능), 가장 높은 CVSS 점수는 9.6점입니다. 이번 달에 공개되었거나 인터넷에서 악용된 것으로 보고된 CVE는 없습니다.
이 보고서에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
Windows MSHTML 플랫폼
이 취약점은 Akamai 연구원 벤 바네아가 발견한 MSHTML 구성요소의 RCE 취약점입니다.
MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM(Component Object Model) 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer, Microsoft Edge의 Internet Explorer 모드, Microsoft Outlook, 기타 다양한 프로그램에서 사용됩니다.
Microsoft의 권고에 언급된 바와 같이, 이 취약점은 Outlook 클라이언트에 사용될 수 있으며 이메일을 보기 전에트리거될 수 있습니다. 이 취약점은 메모리 손상을 트리거하기 쉽지만 악용하기는 복잡합니다.
향후 몇 주 내에 이 취약점을 트리거하는 추가 기법(이메일 외)에 대한 정보를 포함해 더 자세한 기술적 세부 사항을 공유할 예정입니다.
Microsoft Edge(Chromium 기반)
Microsoft Edge는 독점적인 크로스 플랫폼 웹 브라우저입니다. 처음에는 독점적인 툴로 개발되었지만, Microsoft가 2020년 Google의 Chromium 오픈 소스 프로젝트를 사용하도록 브라우저를 완전히 포팅했습니다.
이번 달에는 심각도가 낮은 두 가지 정보 공개 취약점인 CVE-2023-38174 및 CVE-2023-36880그리고 심각도가 중간 정도인 EoP(Elevation of Privilege) 취약점 CVE-2023-35618등 Microsoft Edge와 관련된 세 가지 CVE가 발견되었습니다. 이들 취약점을 악용하려는 공격자는 사용자를 속여 웹사이트를 방문하거나 링크를 열도록, 즉 피싱 공격에 넘어가도록 유도해야 합니다.
흥미롭게도 EoP 취약점은 심각도가 보통으로 분류되어 있지만 CVSS 점수는 9.6으로 매우 높습니다. 이러한 불균형의 이유는 취약점을 유발하는 데 필요한 복잡성 때문입니다. Microsoft에 따르면 공격자는 취약점을 트리거하기 위해 사용자를 속여 특수 제작된 콘텐츠를 호스팅하는 웹 페이지나 서버를 열도록 유도한 다음 특수 제작된 파일을 열게 만들어야 합니다. 이런 다단계 프로세스로 인해 Microsoft의 바운티 프로그램 가이드라인에 따라 심각도를 하향 조정했습니다.
Microsoft Edge는 Windows 운영 체제와 함께 기본적으로 제공됩니다. 이 브라우저는 기업 네트워크에서 가장 많이 사용되는 것으로 관측되었으며 브라우저를 실행 중인 머신의 52%가 사용하고 있습니다.
Microsoft Power Platform 커넥터
Microsoft Power Platform 은 비즈니스 인텔리전스 및 앱 개발을 지원하는 툴 및 제품 세트입니다. 커넥터는 기본 서비스가 Power Platform 제품과 통신할 수 있도록 하는 프록시 또는 API 래퍼입니다.
이번 달에는 기본 점수가 9.6점인 CVE-2023-36019라는 중요한 CVE가 하나 있습니다. 공격자는 이 CVE를 통해 링크, 애플리케이션 또는 파일을 조작해 사용자가 합법적인 애플리케이션과 상호 작용하는 것처럼 속일 수 있습니다. 패치 노트에 사용자 지정 커넥터(Microsoft에서 제공하는 옵션이 없을 때 사용자가 직접 구축하는 커넥터)가 언급되어 있으므로 여기에 취약점이 있는 것으로 추정됩니다. 또한 패치 노트에는 커넥터별 리디렉션 URI를받으려면 사용자 지정 커넥터를 업데이트해야 한다고 언급되어 있습니다.
Akamai는 커넥터가 리디렉션 URI를 공유할 수 있기 때문에, 공격자가 커넥터나 대상을 스푸핑해 사용자를 잘못된 곳으로 연결하도록 속일 수 있다고 추정합니다.
Microsoft는 Microsoft 365 관리 센터나 Azure 포털의 서비스 상태를 통해 영향을 받은 고객에게 연락을 취했다고 밝혔습니다.
Internet Connection Sharing
ICS(Internet Connection Sharing)는 인터넷에 연결된 컴퓨터가 로컬 네트워크의 다른 컴퓨터와 인터넷 연결을 공유할 수 있도록 하는 Windows 서비스입니다. ICS 서비스를 실행하는 컴퓨터는 이 서비스를 사용하는 인접 컴퓨터에 대해 DHCP(Dynamic Host Configuration Protocol)와 NAT(Network Address Translation) 서비스를 제공합니다.
이번 달에는 CVSS 점수가 8.8점인 두 개의 중요한 RCE 취약점과 CVSS 점수가 6.5점이고 심각도가 중요한 또 다른 서비스 거부 취약점(CVE-2023-35642) 등 세 개의 CVE가 있습니다.
두 가지 중요한 취약점 모두 ICS 서비스의 DHCP 부분에 있습니다. CVE-2023-35641을 악용하려면 공격자가 특별히 조작된 DHCP 패킷을 전송해 RCE를 달성해야 합니다.
CVE-2023-35630을 악용하려면 공격자가 DHCPv6 입력 메시지의 옵션 길이 필드(DHCPV6_MESSAGE_INFORMATION_REQUEST)를 수정해야 합니다. 두 취약점 모두 공격자가 ICS 서비스 컴퓨터에서 RCE를 달성할 수 있게 해줍니다.
ICS는 최신 Windows 설치(워크스테이션 및 서버) 시 기본적으로 사용할 수 있으며 일반적으로 트리거 시작, 즉 IP NAT Helper RPC 서버 인터페이스에 대한 RPC 연결 후에 시작되도록 설정되어 있습니다.
ICS 서비스 및 해당 상태는 Akamai Guardicore Segmentation의 인사이트 기능에서 다음 쿼리를 사용해 확인할 수 있습니다.
SELECT status, start_type FROM services WHERE name='SharedAccess'
Akamai의 관측에 따르면 27% 의 환경에서 일부 머신에 ICS 서비스가 실행되고 있었습니다. 일반적으로 단일 네트워크에서 ICS 서비스를 실행하는 머신은 1% 미만이었습니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
서비스 거부 |
네트워크 |
||
서비스 거부 |
네트워크 |
||
정보 유출 |
|||
원격 코드 실행 |
네트워크 |
||
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.
