2024년 12월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
재림절 달력은 어떤 의미를 지닐까요? 모든 것을 한꺼번에, 지금 당장 저희에게 주세요. 여기서 모든 것이란 CVE를 뜻합니다. 이번 달에는 32개 구성요소에 걸쳐 총 71개의 CVE가 발견되었습니다. 이 중 17개는 치명적이며, 1개는 실제 환경에서 발견되었습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
Windows Common Log File System Driver
Common Log File System 은 Windows의 API로, 고성능 로깅 기능을 제공합니다. 개발자와 프로그램은 이 API와 상호작용을 하기 위해 사용자 모드 구성요소인 Clfsw32.dll DLL 파일을 사용합니다. 그러나 이 API의 로직은 실제로는 커널 드라이버인 clfs.sys에 구축되어 있습니다. 이번 달에 패치된 취약점은 아마도 이 커널 드라이버에 있을 것입니다.
이 부분은 주목할 만한 가치가 있습니다. 공격자가 패치된 시스템에서도 BYOVD(Bring Your Own Vulnerable Driver) 공격을 통해 이 정상적인 드라이버를 권한 상승 기법으로 사용할 수 있기 때문입니다.
세 가지 CVE가 있는데, 모두 로컬 권한 상승에 관한 것입니다. 그중 하나인 CVE-2024-49138만이 실제 환경에서 발견되었습니다. CVE-2024-49138.
CVE 번호 |
영향 |
---|---|
권한 상승 |
|
Windows LDAP(Lightweight Directory Access Protocol)
Windows LDAP(Lightweight Directory Access Protocol)는 디렉터리 서비스 및 데이터베이스를 연결하고 쿼리하기 위해 설계된 오픈 소스 프로토콜입니다. Active Directory의 도메인 컨트롤러에는 LDAP 서버 구축이 있어 LDAP를 사용하는 기존 프로그램 및 서버가 별도의 서버 없이 기존 도메인 컨트롤러를 사용할 수 있습니다.
이번 달에는 패치되지 않은 도메인 컨트롤러에 영향을 미치는 LDAP 서비스의 취약점이 4개 있습니다. 2개는 원격 코드 실행(RCE) 취약점이고, 2개는 서비스 거부(DoS) 취약점입니다. 4개 중 어느 것도 인증이 필요하지 않습니다.
CVE 번호 |
영향 |
---|---|
원격 코드 실행 |
|
서비스 거부 |
|
LDAP 클라이언트에 기인하는 또 다른 RCE 취약점인 CVE-2024-49124도 있습니다. 그러나 설명에 따르면 서버 측에서의 악용이 언급되어 있습니다. 현재로서는 클라이언트용인지 서버용인지 확실하지 않습니다.
Akamai는 도메인 컨트롤러를 패치할 수 없으며 다운타임이 발생해서는 안 됩니다. 취약점을 다른 곳에서 방어할 수 있을까요?
그렇지 않습니다. 도메인 컨트롤러는 도메인의 모든 부분에 통합되어 있기 때문에 정상적인 네트워크 운영을 중단하지 않고 접속을 제한하는 것은 사실상 불가능합니다. 인증이 필요하지 않기 때문에 취약점을 추적하는 것조차 어려울 수 있습니다. 인시던트 대응팀은 서버로부터 응답이 없는 단기간 LDAP 세션을 조회할 수 있습니다. 이는 악용 시도를 의미할 수 있습니다.
어떤 경우에도 도메인 컨트롤러가 인터넷에 노출되지 않게 하세요.
Windows Remote Desktop Services
Windows Remote Desktop은 원격 데스크톱 프로토콜(RDP)을 통한 Windows 머신 간 원격 데스크톱 연결에 사용됩니다. 이번 달에는 Windows Remote Desktop의 여러 구성요소에 여러 취약점이 존재하기 때문에 이 사안을 종합적으로 다뤄보고자 합니다.
물론, 가장 중요한 것은 원격 데스크톱 서버의 9가지 치명적인 RCE 취약점입니다. 공격자는 RDP 서버에 연결해 잘못된 패킷을 포함한 스팸 메일을 보낸 다음, 경쟁 조건을 달성하면 됩니다. 그다음, 이를 RCE에 활용할 수 있습니다.
RDP는 네트워크에서 매우 일반적이며 측면 이동에 사용될 수 있으므로 이를 다루는 정책 룰을 만드는 것이 좋습니다. Akamai가 관찰한 바에 따르면, 네트워크의 96%에 Windows RDP 트래픽이 있었고, 20%의 네트워크는 그 트래픽의 일부에 대한 제한이 없었습니다. 여기서 희망적인 점은 대부분의 CVE가 모든 Windows Remote Desktop 서비스에 영향을 미친다고 명시되어 있음에도 불구하고, Remote Desk Gateway 역할을 가진 서버를 구체적으로 언급하고 있다는 것입니다. Remote Desktop Gateway는 흔하지 않으며, Akamai가 관찰한 바에 따르면 36%의 환경에서만 사용되고 있었습니다.
CVE 번호 |
영향 |
---|---|
서비스 거부 |
|
원격 코드 실행 |
|
원격 코드 실행, 클라이언트 측 |
사용자 머신으로 또는 점프 박스와 같은 미리 승인된 서버로만 RDP 접속을 제한하면 이러한 취약점으로 인한 리스크를 크게 줄일 수 있습니다. RDP과 관련된 몇 가지 빠른 결과는 세그멘테이션 블로그 게시물에서 다뤘습니다. 정책이 무엇이든, 패치는 가능한 한 빨리 적용하는 것이 좋습니다.
MSMQ(Microsoft Message Queuing)
MSMQ(Microsoft Message Queuing) 서비스는 Windows의 선택 기능으로, 여러 애플리케이션 간에 메시지를 전달하는 데 사용됩니다. 이 서비스는 선택 사항임에도 불구하고, Microsoft Exchange Server 같은 다양한 Windows용 엔터프라이즈 애플리케이션의 백그라운드에서 사용되고 있습니다. 관측 결과에 따르면, 이 서비스는 작업 환경의 약 70%에 설치되어 있으며 보통 두 대 이상의 머신에 설치된 것으로 나타났습니다.
이번 달에는 두 가지 중요한 네트워크 RCE 취약점이 발견되었습니다. 이 취약점을 통해 공격자는 인증 없이도 피해자의 MSMQ 서버에 특수하게 조작된 패킷을 전송함으로써 원격으로 코드를 실행할 수 있습니다. 또 다른 DoS 취약점도 발견되었습니다.
MSMQ 서비스는 포트 1801을 통해 접속할 수 있지만, 많은 클라이언트가 자주 접속하지는 않습니다 (주로 엔터프라이즈 애플리케이션 자체에서 사용되기 때문에). 해당 포트 및 서비스에 대한 임의의 네트워크 접속을 제한하는 것을 권장합니다. 허용 목록 정책을 사용해 서비스를 세그멘테이션하고 실제로 필요한 머신에만 접속할 수 있도록 하시기 바랍니다. 자세한 내용은 세그멘테이션 블로그 게시물, 특히 애플리케이션 링펜싱 과 마이크로세그멘테이션 섹션을 참조하세요.
CVE 번호 |
영향 |
---|---|
원격 코드 실행 |
|
서비스 거부 |
Windows LSASS(Local Security Authority Subsystem Service)
LSASS(Local Security Authority Subsystem Service)는 Windows 운영 체제의 핵심 프로세스입니다. 사용자 모드에서 실행되지만 보호된 프로세스로, 접속 및 보안 처리, 즉 사용자 로그온, 암호 확인, 보안 토큰 관리 등의 역할을 담당합니다.
공격자와 레드팀이 흔히 사용하는 기법은 프로세스의 메모리를 덤프해 그 안에 저장된 사용자 암호를 얻는 것입니다. Microsoft는 이 프로세스에 보호된 프로세스와 같은 보안 메커니즘을 점점 더 추가하고, 최근에는 일반 사용자 모드에서 격리하기 위해 Hyper-V를 사용하는 등, 해당 프로세스에 보안 메커니즘을 추가함으로써 이를 중단 시켰습니다. 이것은 중요한 일입니다.
로그온을 담당하는 프로세스로서, 항상 RPC 서버의 형태로 일부 네트워크 구성요소를 모니터링합니다. 이번 달의 중요한 RCE인 CVE-2024-49126은 이러한 구성요소 중 하나를 중심으로 진행됩니다. 원격 공격자는 경쟁 조건을 통해 인증 없이도 프로세스에서 임의의 코드를 실행할 수 있습니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
---|---|---|---|
임의 코드 실행 |
네트워크, 사용자가 악성 파일을 열어야 함 |
||
권한 상승 |
네트워크 |
||
정보 유출 |
|||
원격 코드 실행 |
네트워크 |
||
원격 코드 실행 |
로컬, 게스트-호스트 |
||
권한 상승 |
로컬 |
||
권한 상승 |
로컬 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.