2023년 1월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Microsoft의 2023년 1월 패치 화요일(Patch Tuesday)이 발표됨에 따라 Akamai 보안 연구팀은 패치된 흥미로운 취약점을 조사했습니다. Microsoft는 이달 들어 12월보다 2배 가까이 많은 CVE를 패치하며 새로운 한 해를 활기차게 시작한 것으로 보입니다. Akamai 보안 연구팀도 새해를 힘차게 시작했으며 이번 달 패치된 두 가지 취약점을 공개했습니다. 이에 대한 간단한 설명은 아래에 확인하시기 바랍니다.
이 보고서에서는 취약점의 심각성과 애플리케이션과 서비스에 대한 일반적인 영향을 평가하고 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이 보고서에서는 Akamai가 공개한 보안 취약점 외에도 다음과 같은 버그 패치 영역에 초점을 맞추고 있습니다.
Akamai가 공개한 보안 취약점
다음 두 가지 취약점은 Microsoft에 공개되어 이번 달 패치에서 해결되었습니다. Akamai는 모든 사용자가 시스템을 패치할 수 있도록 이들 취약점에 대해 자세한 정보를 제공할 것입니다. 이제 간단한 설명을 제공하겠습니다.
SMB Witness 서비스 원격 EoP
CVE-2023-21549, CVSS의 점수 8.8
이것은 RPC 툴킷을 통해 발견된 또 다른 취약점입니다. SMB Service Witness Protocol은 SMB 클러스터 파일 서버의 일부로 사용됩니다.
LSM 로컬 EoP
CVE-2023-21771, CVSS의 점수 7.0
이것은 LSM RPC 인터페이스의 또 다른 취약점 입니다. 취약점은 로컬에서만 트리거될 수 있으며, 악용하려면 쉽게 달성할 수 있는 경쟁 조건을 달성해야 합니다.
취약한 기능이 모든 Windows 빌드에 존재하지는 않기 때문에 다음 버전만 취약합니다.
Windows Server 2022
Windows 10 버전 21H2 및 22H2
Windows 11 버전 21H2 및 22H2
Windows Layer 2 Tunneling Protocol
L2TP(Layer 2 Tunneling Protocol)는 VPN을 지원하는 데 사용되는 터널링 프로토콜입니다. Windows에서 이것은 이전 달에 다룬 SSTP 및 PPP와 마찬가지로 RAS(Remote Access Server)의 일부입니다. 원격 접속은 Windows Server 역할로서 원격 클라이언트는 이를 통해 VPN과 비슷하게 LAN에 연결할 수 있습니다. 서버 역할은 능동적으로 추가해야 합니다.
이번 달 이 서비스에는 주요 취약점 5가지가 있으며 모두 CVSS 점수가 8.1로 원격 코드 실행을 허용합니다.
공격자는 네 가지 취약점(CVE-2023-21546, CVE-2023-21679, CVE-2023-21555 , CVE-2023-21556)을 트리거하려면 경쟁 조건을 달성해야 합니다. MSRC(Microsoft Security Response Center)에 따르면 CVE, CVE-2023-21543은 경쟁 조건이 필요하지 않지만 공격자는 악용 전에 추가 단계를 수행해야 합니다.
VPN 서버에 다운타임이 발생하면 안 됩니다. 패치 적용 이외의 다른 종류의 방어 조치를 수행할 수 있을까요?
L2TP는 VPN 서버를 지원하는 데 사용되기 때문에 인터넷 접속을 제한하는 것은 현실적으로 불가능합니다. 따라서 패치 적용 이외에 사용할 수 있는 방어 옵션은 많지 않습니다. 예를 들어 모든 직원이 미국에 있는 경우와 유사하게 특정 지역에 근로자가 없는 경우 지리 IP를 기반으로 특정 지리적 위치에 대한 접속을 제한할 수 있지만 매우 어렵습니다.
또는 모든 CVS에는 경쟁 조건이나 추가 단계가 필요하기 때문에 이러한 취약점이 악용되면 네트워크 활동이 급증할 수 있다고 가정하는 것이 안전합니다. 네트워크 활동을 모니터링하면 잠재적인 악용 시도에 대한 알림이 나타날 수 있습니다.
Windows Lightweight Directory Access Protocol
LDAP(Lightweight Directory Access Protocol)는 디렉터리 서비스 및 데이터베이스를 연결하고 쿼리하기 위해 설계된 오픈 소스 프로토콜입니다. AD(Active Directory)의 도메인 컨트롤러에는 LDAP 서버 구현이 있어 LDAP를 사용하는 기존 프로그램 및 서버가 별도의 서버 없이 기존 AD를 사용할 수 있습니다.
이번 달에는 패치되지 않은 도메인 컨트롤러에 영향을 주는 LDAP 서비스에 두 가지 취약점이 있습니다. CVE-2023-21557 는 인증 전에 수행할 수 있는 DoS(Denial-of-Service) 취약점입니다. MSRC의 권고에서도 이 취약점을 성공적으로 악용할 경우 정보 유출이 발생할 수 있다고 기술하고 있지만 유출되는 데이터를 명시하지는 않았습니다. CVE-2023-21676 는 원격 코드 실행 취약점이지만 사전 인증이 필요합니다.
Akamai는 도메인 컨트롤러를 패치할 수 없으며 다운타임이 발생해서는 안 됩니다. 취약점을 다른 곳에서 방어할 수 있을까요?
그렇지 않습니다. 도메인 컨트롤러는 도메인의 모든 부분에 통합되어 있기 때문에 정상적인 네트워크 운영을 중단하지 않고 접속을 제한하는 것은 사실상 불가능합니다. 이 CVE-2023-21676 인증된 사용자가 필요하기 때문에 IR팀이 추적할 때 도움이 될 수 있지만 선제적인 예방에는 도움이 되지 않습니다.
Microsoft Cryptographic Services
Cryptographic Services라는 이름은 운영 체제에서 참조할 수 있는 부분이 많기 때문에 다소 모호합니다. (CryptSvc, 즉 Cryptographic Service 하나만 참조해야 하지만 해당 파일은 패치되지 않았습니다.) 영향을 받는 시스템을 알려주는 CVE는 하나, 즉 CVE-2023-21561 이 있으며 CSRSS를 포함합니다.
이번 달에는 로컬 권한 상승에 대해 3개, 로컬 정보 공개에 대해 3개로 총 6개의 CVE가 있습니다. 이러한 취약점은 서버나 데스크톱에 관계없이 Windows 머신에 영향을 미치므로 패치가 매우 중요합니다.
CVE 번호 |
영향 |
|---|---|
| CVE-2023-21561 | 권한 상승 AppContainer에서 SYSTEM으로 |
| CVE-2023-21730 | 권한 상승: SYSTEM으로 |
| CVE-2023-21551 | |
| CVE-2023-21559 | Windows 암호화 비밀 공개 |
| CVE-2023-21540 | |
| CVE-2023-21550 |
기존 지원 서비스
이번 달 패치 화요일의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있으신 경우, 이전 게시물을 확인해 보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 |
|---|---|---|---|
인증 우회 |
네트워크 |
||
원격 코드 실행 |
최소한 사이트 구성원으로 인증됨 |
||
페이지 생성 권한으로 인증됨 |
|||
원격 코드 실행 |
네트워크 |
||
정보 유출 |
네트워크 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다.
