2024년 1월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
새해에 등장한 새로운 CVE. Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다. 이번 달 총 48개의 CVE 중 심각한 것은 2개뿐이지만 새해 보너스도 있습니다. 이번 달에 패치된 CVE 중 2개는 Akamai 연구원 벤 바네아(Ben Barnea) 와 토머 펠레드(Tomer Peled)가 발견했습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
Windows HTML 플랫폼
이번 달에는 Windows HTML 플랫폼이라 불리지만, 이 이름은 지난달과 마찬가지로 Windows MSHTML을 가리키는 것으로 보입니다. MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM(Component Object Model) 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer, Microsoft Edge의 Internet Explorer 모드, Microsoft Outlook, 기타 다양한 프로그램에서 사용됩니다.
Akamai 연구원 벤 바네아 가 발견한 CVE-2024-20652는 CVSS 점수가 7.5인 보안 기능 우회 취약점입니다. 취약점 자체는 MapUrlToZone에 있습니다. MapUrlToZone은 URL이 머신, 네트워크 내부 또는 인터넷의 리소스를 가리키는지 확인하기 위해 일반적으로 호출되는 함수입니다.
이 취약점은 이전에 공개된 취약점과유사합니다. 이로 인해 MapUrlToZone은 URL이 인트라넷에 있는 것으로 결론을 내리지만 URL은 실제로 인터넷 리소스를 가리킵니다. Outlook의 CVE-2023-23397 패치를 우회하는 데 악용될 수 있고, 결국 NTLM 자격 증명이 (공격자가 제어하는) 원격 목적지로 유출됩니다.
Windows 테마
Microsoft 테마는 특히 아이콘이나 글꼴을 표시하는 방식을 사용자가 변경할 수 있는 Windows 기능입니다. Windows에 내장되어 있습니다.
Akamai 연구원 토머 펠레드(Tomer Peled) 가 발견한 CVE-2024-21320은 CVSS 점수가 6.5인 스푸핑 취약점으로 분류됩니다. 보다 정확히 말하자면, 피해자가 NTLM 인증을 시작하도록 하기 때문에 인증 강제 취약점입니다.
사용자가 추가 상호 작용 없이 Explorer를 사용해 악성 테마 파일을 보기만 해도 취약점이 트리거됩니다(테마 파일을 명시적으로 열 필요도 없습니다). 이 취약점에 대한 자세한 내용은 다음 블로그 게시물에서 공유할 예정이므로 계속 관심 가져주시기 바랍니다.
또 다른 CVE(CVE-2024-20691)가 이번 달 Windows 테마에서 패치되었습니다. 이는 공격자가 경쟁 조건에서 이길 경우 공격자에게 힙 메모리가 공개될 수 있는 정보 공개 취약점입니다.
Windows Hyper-V
Windows Hyper-V는 Windows의 기본 하이퍼바이저입니다. 단일 호스트 머신에서 가상 머신(게스트)을 호스팅할 수 있습니다. 가상화는 하드웨어 비용을 절감해 주기 때문에 엔터프라이즈 네트워크에서 널리 활용됩니다.
Akamai의 관측에 따르면 90%의 환경에 Hyper-V가 활성화된 머신(호스트)이 하나 이상 있고, 평균 25%의 Windows 머신에 Hyper-V가 활성화되어 있었습니다.
이번 달에 패치된 Hyper-V의 두 가지 취약점 중 하나는 매우 중대한 취약점이었습니다.
- CVE-2024-20699는 서비스 거부(DoS) 취약점인데, 공격자는 취약한 게스트 머신에서 이 취약점을 트리거할 수 있습니다. 이를 위해서는 공격자가 취약한 게스트에 대한 로컬 접속 권한을 가지고 있어야 합니다.
- CVE-2024-20700 은 공격자가 취약한 Hyper-V 머신에서 코드를 실행할 수 있게 하는 심각한 원격 코드 실행 취약점입니다.
방어
CVE-2024-20700은 네트워크 접속이 필요하므로 네크워크 세그멘테이션을 통해 Hyper-V 호스트에 대한 접속 범위를 제한하여 공격 리스크를 줄일 수 있습니다. 이는 패치에 대한 대안이 아니라 단기적인 솔루션으로 고안되었습니다. Hyper-V 호스트를 탐지하고자 할 때는 다음 OSQuery를 사용할 수 있습니다.
Windows Kerberos
Kerberos는 Windows 도메인 아키텍처의 중추 역할을 합니다. 기본 인증 메커니즘으로, NTLM을 대체했습니다. 이번 달에 패치된 Kerberos에는 치명적인 취약점이 하나 있었습니다. 바로 CVE-2024-20674입니다.
Microsoft의 설명에 따르면, 이 취약점을 통해 사칭이 가능하며 공격자는 피해자의 클라이언트와 중간 머신(MITM) 채널을 설정해야 합니다. 이를 통해 공격자가 인증 서버로 가장할 수 있습니다.
공격 체인
우리가 이해하는 바에 따르면 성공적인 악용 체인은 다음과 같습니다.
- 공격자가 피해자를 대상으로 MITM 위치를 설정합니다. 이는 ARP, LLMNR 또는 DNS 중독과 같은 다양한 방법으로 가능합니다. (Akamai 연구원 오리 데이비드(Ori David)가 최근 DHCP DNS 스푸핑을 통해 MITM을 설정하는 새로운 기법을 발견했습니다.)
- 공격자는 피해자에게 악성 Kerberos 메시지를 보내 공격자의 머신이 Kerberos 인증 서버라고 믿게 합니다.
- 클라이언트가 공격자의 머신과 연결되면 공격자는 이 취약점을 통해 클라이언트를 사칭하고 도메인 내에서 자신의 이름으로 작업을 실행할 수 있습니다.
방어
Kerberos는 Windows 도메인의 필수적인 부분이기 때문에 가능한 한 빨리 시스템을 패치하는 것이 중요합니다. 취약점이 ‘악용 가능성 높음’으로표시되었기 때문에 더욱 그렇습니다. 이 취약점은 Kerberos 클라이언트에 영향을 미치므로 도메인 컨트롤러만 패치하는 것만으로는 충분하지 않습니다. 도메인의 모든 Windows 머신에 패치를 적용해야 합니다.
패치할 시스템이 너무 많을 경우 상당한 시간이 걸릴 수 있고, 특히 대규모 도메인은 시간이 더 걸릴 수 있습니다. 그래서 우선 취약점의 악용 가능한 아티팩트를 탐지하기 위한 두 가지 사항을 제시합니다.
- Windows 이벤트 로그를 분석해 네트워크에서 비정상적인 로그온(이벤트 ID 4624 또는 4625)을 찾을 수 있습니다. 해당 사용자가 없어야 하는 머신에서 시작된 사용자 로그온 이벤트가 있거나 비정상적인 로그온(예: 네트워크 또는 배치)이 있는 경우 우려 사항이 발생할 수 있습니다.
- Kerberos 인증은 netlogon용 RPC 인터페이스에서 처리되기 때문에, RPC ETW 로그를 사용해 도메인 컨트롤러가 아닌 머신에 netlogon으로 연결하는 클라이언트를 검색할 수 있습니다. Akamai의 RPC 가시성 오픈 소스 툴이 도움이 될 것입니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
원격 코드 실행 |
로컬: 사용자가 악의적으로 제작된 파일을 열도록 요구 |
||
원격 코드 실행 |
네트워크 |
||
원격 코드 실행 |
네트워크 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.
