2024년 2월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
장미 꽃다발도 멋지겠지만 Akamai에겐 패치가 더 반가운 선물입니다. Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다. 이번 달 73개의 CVE 중 심각한 수준은 5개지만, 실제로 악용된 CVE는 다른 2개인 것으로 나타났습니다. CVE-2024-21351 (Windows SmartScreen) 및 CVE-2024-21412 (인터넷 바로 가기 파일)가 이에 해당합니다. 두 취약점 모두 공격자가 잠재적 악성 파일에 대한 접속을 사용자에게 알리는 보안 검사를 우회하게 하는 보안 우회 사례입니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
실제 악용된 취약점
CVE-2024-21351 — Windows SmartScreen(CVSS 7.6)
이는 웹에서 다운로드한 잠재적 악성 파일을 열 때 SmartScreen 보안 경고를 건너뛰는 보안 우회 취약점입니다. 이 시나리오에서 Windows SmartScreen은 경고 화면을 표시해야 합니다. 이 취약점을 악용하려면 공격자가 Windows SmartScreen이 파일을 검사하지 못하게 하고 경고 화면을 우회하는 방식으로 파일을 조작해야 합니다. CVE 자료에 따르면. 이 취약점을 통해 SmartScreen 프로세스에 코드를 주입할 수도 있습니다.
SmartScreen 우회 취약점이 공격자에 의해 적극적으로 악용된 것은 이번이 처음이 아닙니다. 2023년 11월 패치 에도 적극적으로 악용된 것으로 보고된 우회 취약점에 대한 수정 사항이 포함되어 있습니다.
CVE-2024-21412 - 인터넷 바로 가기 파일(CVSS 8.1)
인터넷 바로 가기 파일은 인터넷 주소를 가리키는 .url 파일입니다. 이 취약점은 위의 SmartScreen CVE와 마찬가지로 해당 파일을 두 번 클릭할 때 발생하는 일부 보안 검사를 우회합니다(실제로 2023년 11월 SmartScreen의 CVE는 특별히 인터넷 바로 가기 파일에 대한 취약점이며 이 CVE는 해당 패치를 우회함). 이 취약점을 트리거하려면 바로 가기 파일이 특수하게 조작되어야 하며, 피해자가 바로 가기 파일을 클릭해야 합니다. 이는Water Hydra 캠페인의 일부로 이용된 바 있습니다. 자세한 내용은 피터 거너스(Peter Girnus)의 게시물 (X 플랫폼(구 Twitter)에서 제공) 또는 Trend Micro 블로그를 참조하세요.
Windows Exchange Server 및 Microsoft Outlook
Exchange Server와 Outlook은 서로 다른 제품이지만 밀접하게 연관되어 있기 때문에(전자는 이메일 서버이고 후자는 이메일 클라이언트) 함께 논의하기로 결정했습니다. Outlook에는 3개의 CVE가 패치되어 있었는데, 그 중 하나는 심각한 CVE이고 Exchange Server에서는 심각한 다른 CVE가 패치되었습니다.
CVE-2024-21413 취약점은 Outlook의 중요한 원격 코드 실행 취약점으로, Microsoft의 자료에 따르면 공격자가 Office Protected View 항목을 우회하고 읽기 전용이 아닌 편집 모드로 문서를 열 수 있습니다. 이로 인해 보안 메커니즘을 우회하고 인증정보가 유출되어 원격 코드 실행에 사용될 수 있습니다. 이 취약점은 Check Point Research의 하이페이 리(Haifei Li) 연구원이 발견했습니다. 이 블로그 게시물에 자세히 설명되어 있습니다.
CVE-2024-21410 취약점은 Windows Exchange Server에 있는 또 다른 심각한 원격 코드 실행 취약점입니다. 이 취약점을 악용하려면 공격자가 인증정보를 Exchange Server에 릴레이하고 피해자로 인증하기 위해 일종의 중간 머신 채널을 확보해야 합니다. 그러면 공격자는 피해자를 대신해 권한에 기반한 행동을 할 수 있습니다. Microsoft는 리스크를 방어하기 위해 인증에 Extended Protection 기능을 사용하도록 권장하지만, 패치 역시 권장됩니다. 관찰된 바에 따르면, 27% 의 기업 네트워크에 온프레미스 Exchange 서버가 있었습니다.
CVE 번호 |
구성요소 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
Windows Exchange Server |
권한 상승 |
네트워크 |
|
Microsoft Outlook |
원격 코드 실행 |
||
권한 상승 |
로컬 |
Windows OLE 및 ODBC
Windows OLE 및 ODBC는 모두 데이터 사용자와 데이터 소스 간의 연결을 일반화하도록 만들어진 API 사양입니다. ODBC는 이전 기능이고 절차를 따르는 반면, OLE는 그보다 최신 기능이고 COM(Component Object Model)을 사용해 구축하며 비관계성 데이터베이스도 지원합니다.
이번 달에 패치된 CVE는 18 개로, 이중 16개는 OLE와, 2개는 ODBC와 관련이 있습니다. 모든 CVE는 데이터베이스 클라이언트를 대상으로 하는 원격 코드 실행 취약점입니다. 공격자는 자신이 제어하는 악성 데이터베이스에 연결하도록 피해자를 유도해야 합니다. 그러면 특수하게 조작된 패킷을 보내 피해자의 클라이언트에서 원격 코드 실행을 트리거할 수 있습니다. 거의 모든 CVE의 CVSS 점수는 8.8입니다.
가능한 방어 조치
모든 취약점의 영향은 세그멘테이션을 통해 방어할 수 있습니다. 기업에서 알려진 SQL Server 허용 목록을 작성하면 외부의 알려지지 않은 서버와 연결할 수 없기 때문에, 위에서 설명한 공격 체인을 방지할 수 있습니다.
CVE 번호 |
구성요소 |
|---|---|
Microsoft WDAC ODBC Driver |
|
Microsoft ODBC Driver |
|
Windows OLE |
|
SQL Server용 Microsoft WDAC OLE DB 공급업체 |
|
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
권한 상승 |
로컬 |
||
임의 코드 실행 |
|||
원격 코드 실행 |
네트워크 |
||
서비스 거부 |
네트워크 |
||
서비스 거부 |
네트워크 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.
