2023년 2월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Microsoft는 Patchentine 에 보안 업데이트를 발표하고, 9개는 위험으로 분류되고 5개는 9.8의 높은 CVSS 점수를 받은 취약점을 포함한 CVE 80개를 패치해 보안을 강화했습니다. 패치된 CVE 중 3개는 실제로 사용됐으며패치된 제로 데이로 지정됐습니다.
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
참고: 이번 달 패치와 VMware ESXi 7.0.x 이하에서 실행되는 Secure Boot가 포함된 Windows 서버 2022 VM에는 문제 가 있습니다. 이들은 KB5022842를 설치하면 부팅되지 않을 수 있습니다.
이 보고서에서는 취약점의 심각성과 애플리케이션과 서비스에 대한 일반적인 영향을 평가하고 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이 보고서에서는 버그가 패치된 다음 부문을 집중적으로 소개합니다.
실제 악용된 취약점
CVE-2023-21823
Windows Graphic 구성요소의 원격 코드 실행(RCE) 취약점부터 살펴보겠습니다. 이 취약점은 원격 악용에 대한 것이지만 공격 기법 은 로컬로 등록됩니다. 즉 사용자가 다운로드된 파일과 상호 작용해야 하는 ACE(Arbitrary Code Execution) 취약점에 가깝다는 의미일 수 있습니다.
흥미롭게도 이 CVE는 Microsoft Office, iOS 및 Android 버전에도 영향을 미칩니다. 따라서 업데이트는 Windows Update뿐만 아니라 Microsoft Store, Google Play, App Store를 통해 관리됩니다. 이러한 스토어에서 자동 업데이트를 사용하지 않도록 설정한 경우 디바이스에서 업데이트를 트리거해야 합니다.
CVE-2023-21715
이 취약점은 Microsoft Publisher의 보안 우회 취약점입니다. 특히 MOTW(“Mark-of-the-Web”)를 다룹니다. 일반적으로 인터넷에서 다운로드된 파일은 내부적으로 표시되므로 운영 체제나 프로그램은 파일을 신뢰하지 않으며, 자동으로 파일(또는 파일에 포함된 매크로)을 실행하면 안 된다는 것을 압니다. 특히 Microsoft Publisher에서는 MOTW를 처리하지 않고 웹에서 다운로드한 파일의 매크로 실행을 허용했습니다. 이 CVE는 수정되었습니다. 보안 연구자 하이페이 리(Haifei Li)는 Twitter에 보다 상세한 분석을 게시했습니다.
CVE-2023-23376
이것은 Windows Common Log File System Driver의 권한 상승 취약점으로서 공격자는 이를 통해 시스템 권한을 확보할 수 있습니다. 현재 세부 정보가 없습니다.
Microsoft Protected Extensible Authentication Protocol
PEAP( Protected Extensible Authentication Protocol )는 TLS 세션 내의 EAP( Extensible Authentication Protocol )를 캡슐화하는 프로토콜입니다. EAP는 디바이스 및 네트워크 연결을 인증하는 데 사용되며 Wi-Fi 네트워크 인증에도 사용됩니다.
Windows 서버는 NPS(Network Policy Server )라는 선택적 역할을 사용해 설정할 수 있으며 NPS를 사용해 EAP 및 PEAP를 통한 네트워크 연결 요청을 인증하고 허용할 수 있습니다. 이 기능은 기본적으로 활성화되어 있지 않기 때문에 NPS 역할을 수동으로 설치 및 설정해야 합니다. Akamai가 관찰한 바에 따르면 NPS 서버가 있는 네트워크는 21%에 불과했습니다.
NPS는 네트워크의 중심이고 인증 요청도 처리해야 하므로 세그멘테이션 정책을 적용하는 것이 문제가 될 수 있습니다. 대신 Microsoft는 프로토콜 협상에서 PEAP를 허용하지 않고 이를 구축하는 두 가지 소스 를 제공하면 방어할 수 있다고 밝혔습니다.
이달의 CVE는 위험 RCE(9.8점) 3개와 중요 CVE(7.5점) 3개로 총 6개이며, 여기서 CVE 3개는 RCE, DoS, 정보 우회 CVE입니다.
CVE 번호 |
심각도 |
기본 점수 |
영향 |
|---|---|---|---|
위험 |
9.8 |
원격 코드 실행 |
|
중요 |
7.5 |
||
서비스 거부 |
|||
정보 유출 |
Windows iSCSI
iSCSI 는 SCSI 스토리지 디바이스에 접속하는 데 사용되는 프로토콜입니다. Windows에서는 머신에 iSCSI Initiator 프로세스 및 Microsoft iSCSI Initiator Service가 있습니다. 둘 다 기본적으로 실행되지 않기 때문에 수동으로 실행하고 설정해야 합니다. 관찰에 따르면 Windows iSCSI가 실행 중인 머신을 보유한 네트워크는 3%에 불과합니다.
이번 달에는 하나의 위험 RCE 와 3개의 DoS CVE가 있습니다. 명시적으로 언급되지는 않지만, CVE는 Microsoft iSCSI Initiator Service를 참조하는 것으로 가정합니다. 또한 RCE는 32비트 머신에서만 작동하는 것으로 알려졌습니다.
Q: 머신이 귀여운 동물이 포함된 밸런타인 전자 카드를 전송하느라 바쁘기 때문에 시스템을 패치하거나 다시 시작할 수 없습니다. 밸런타인 데이 기간에 시스템을 보호할 수 있나요?
다행히 iSCSI 서비스는 기본적으로 실행되지 않습니다. 따라서 이를 실행하는 머신을 매핑하고 이에 대한 세그멘테이션 정책을 생성할 수 있어야 합니다. iSCSI 서비스로 들어오는 입력 연결이 그렇게 많지 않아야 하므로 마이크로세그멘테이션을 사용해 머신 외부에서 서비스에 접속하는 것을 제한합니다. 그러면 머신에 패치를 적용할 수 있는 시간을 확보하게 됩니다.
머신을 iSCSI로 매핑하려면 TCP 포트 860 및 3260(기본 iSCSI 포트)을 통해 연결을 검색할 수 있습니다. 서비스 자체, 즉 Microsoft iSCSI Initiator Service를 찾을 수도 있습니다.
이에 대한 osquery 쿼리입니다.
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
또한 RCE 취약점 FAQ에 따르면 iSCSI 서비스에 DHCP 요청을 전송해 이루어지기도 합니다. 네트워크 가시성이 있는 경우 iSCSI 머신이 DHCP를 정상적으로 수신하는지 확인할 수 있으며(UDP 포트 67,68), 그렇지 않은 경우(또는 제한된 범위 내의 경우) 세그멘테이션을 적용할 수도 있습니다. 이렇게 하면 패치 적용 전에 추가적인 방어 조치를 제공할 수 있습니다.
Microsoft SQL 서버
이번 달에는 Microsoft SQL 서버에 RCE CVE 3개가 있습니다. 이 중 두 가지(기본 CVSS 점수: 8.8)는 옵션 기능 SQL DQS(Data Quality Services)에 관한 것입니다. 세 번째 CVE의 CVSS 점수는 7.8입니다. 관찰에 따르면 60%의 네트워크가 MSSQL 서버를 보유하고 있으며 40%에는 DQS도 설치되어 있습니다.
SQL 서버에는 일반적으로 민감한 정보가 있으므로 데이터 유출 인시던트를 방지하기 위해 정보를 세그멘테이션하고 접속 제어 제한 사항을 적용해야 합니다. 이러한 정책이 없는 경우 이를 추가할 좋은 기회입니다. 기존 MSSQL 서버를 매핑합니다(MSSQL 서비스를 찾아보거나 포트 1433,1434를 통한 연결을 검색). 기존 서버를 매핑한 후 기존 트래픽과 접속이 필요한 기타 세그먼트(예: 모든 권한을 가진 IT, 재무에 대한 권한을 가진 재무, 기타)를 기반으로 세그멘테이션 정책을 생성합니다. 이것은 누가 악당인지, 접촉해서는 안 되는 데이터베이스에 누가 접속하는지 확인할 좋은 기회이기도 합니다.
이번 달 OLE 및 ODBC에서 SQL과 관련된 7개의 CVE가 있습니다. 이들은 이전 권고에서 이미 다루었고 권장 사항도 변경되지 않았습니다(CVE도 비슷함). 자세한 내용은 이전에 다루었던 서비스에서 알아보세요.
Microsoft PostScript 프린터 드라이버
PostScript는 페이지 레이아웃 설명에 사용되는 프로그래밍 언어입니다. 수많은 프린터가 이 언어를 지원합니다(대부분 가정용 프린터가 아닌 사무용 또는 업무용 비교적 고급 프린터).
PostScript 프린터 드라이버는 PostScript를 통해 프린터와 통신하는 방법을 알고 있는 Windows(pscript5.dll)의 시스템 구성요소입니다. 관찰에 따르면 네트워크의 약 30%에 PostScript 프린터 드라이버를 사용하는 머신이 있었습니다.
공격자들은 보안 유출 시 프린터를 사용하는 것으로 알려져 있기 때문에, 밸런타인 프린팅에서 잠시 벗어나 패치 작업을 하거나 프린터 서버를 보호하세요.
CVE 번호 |
공격 기법 |
방어 |
|---|---|---|
인증을 받은 공격자는 공유 프린터로 조작된 파일을 보낼 수 있습니다. 이에 따라 공유 서버에 RCE가 발생합니다. |
공유 프린터를 제한하거나 프린터 공유 서버에서 세그멘테이션을 수행해 무단 접속을 제한합니다. 또한 공격자는 인증을 받아야 하므로 사용자 접속 제어 또는 확인으로 비정상적인 행동을 알릴 수도 있습니다. |
|
공격 기법은 로컬 및 ACE로 분류됩니다. 이는 일반적으로 사용자가 인터넷에서 가져온 무언가를 열고, 이로 인해 코드가 실행되는 것을 의미합니다. 이 경우 악의적으로 제작된 문서의 인쇄일 수 있습니다. |
다운로드한 파일이나 이메일 파일 스캐너를 제어하는 것이 리스크를 방어하는 데 도움이 될 수 있습니다. 또한 이 CVE는 데스크톱 또는 사용자 머신에 더 적합해 보입니다. 보통 위험 서버보다 패치하기가 더 쉽습니다. |
|
FAQ에 따르면 사용자는 악성 프린터에 접속해야 하며, 힙 메모리가 공개되는 결과를 초래하게 됩니다. |
프린터를 고려해야 하므로 '새로운' 프린터에 접속을 막기 위해 세그멘테이션 룰을 추가하고 리스크를 방어할 수 있어야 합니다. |
Microsoft Word
RTF 파일을 처리하는 Microsoft Word에는 한 가지 위험 RCE CVE(CVSS 점수: 9.8)가 있습니다. (밸런타인 데이에 빨간 장미를 좋아하지 않을 사람이 있을까요?)
이 경우 특수하게 조작된 RTF 파일은 Word에서 열 때 명령어 실행을 트리거할 수 있습니다. 미리보기 창 및 SharePoint에도 영향을 줍니다. 다행히 Microsoft는 다음과 같은 두 가지 방어 조치를 제공했습니다.
기존 지원 서비스
이번 달 패치 화요일의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 게시물을 확인해 보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
원격 코드 실행 |
관리 목록 권한이 있는 인증된 사용자의 네트워크 접속 |
||
원격 코드 실행 |
피해자가 OLEDB를 통해 악성 SQL Server에 연결해야 합니다. |
||
원격 코드 실행 |
피해자가 ODBC를 통해 악성 SQL Server에 연결해야 합니다. |
||
원격 코드 실행 |
네트워크: 인증이 필요합니다 |
||
네트워크: 공격자가 관리자로 인증을 받아야 합니다 |
|||
스푸핑 |
네트워크 접속 및 인증. 사용자도 삽입된 링크를 클릭해야 합니다. |
||
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다.