2023년 7월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점

CVE-2023-32046 — Windows MSHTML 플랫폼(CVSS 7.8)

MSHTML 플랫폼의 이 취약점을 통해 공격자는 공격 피해자인 사용자의 권한을 얻을 수 있습니다. MSHTML은 Microsoft의 브라우저 엔진이며, 패치 노트에 따르면 사용자가 조작된 파일을 열거나 해당 파일을 호스팅하는 악성 웹 사이트로 이동해야 하기 때문에 이 취약점은 HTML이나 JavaScript 파일 같은 일종의 웹 리소스일 가능성이 있습니다. 어쨌든 이 취약점은 사용자가 일종의 소셜 엔지니어링에 반응해 악성 파일을 열도록 합니다. 이번 달에는 MSHTML에 두 가지 CVE(실제 악용 사례가 알려지지 않음)가 추가로 패치되었으며, 이에 대한 자세한 내용은 이 글의 뒷부분에서확인하실 수 있습니다.

CVE-2023-32049 — Windows SmartScreen(CVSS 8.8)

인터넷에서 다운로드했거나 안전하지 않은 파일을 열 때 SmartScreen 보안 경고를 건너뛰는 보안 우회 취약점입니다. SmartScreen 우회 취약점이 공격자에 의해 적극적으로 악용된 것은 이번이 처음이 아닙니다. Google의 TAG(Threat Analysis Group)는 과거에도 비슷한 취약점을 이용한 Magniber 랜섬웨어를 탐지해 보고했습니다.

CVE-2023-36874 — Windows Error Reporting Service(CVSS 7.8)

공격자가 머신에 대한 로컬 접속 권한을 가지고 있어야 하는 권한 상승 취약점입니다. 자료에 따르면 공격자는 로컬 머신에 폴더와 성능 트레이스를 생성할 수 있어야 하는데, 이를 위해서는 일반적으로 사용할 수 없는 제한된 사용자 권한이 필요합니다. 이 CVE 역시 Google TAG에서 보고했습니다.

CVE-2023-35311 — Microsoft Outlook(CVSS 8.8)

Outlook에서 발견된 또 다른 보안 우회 취약점입니다. 이 취약점을 통해 공격자는 하이퍼링크 클릭 시 Outlook의 보안 알림을 우회할 수 있습니다.

CVE-2023-36884 — Office 및 Windows HTML(CVSS 8.3)

Microsoft는 7월 11일, 활발하게 악용되고 있는 원격 코드 실행 취약점에 대한 주의보를 발표했습니다. 이 취약점은 여러 Microsoft 제품에 영향을 미치며 기본적으로 피해자가 악성 문서를 열도록 유인합니다.

최근 리투아니아에서 열린 NATO 정상회의 참석자를 대상으로 한 캠페인을 포함해 RomCom 공격자가 피싱 캠페인에 악용하고 있는 취약점입니다. 현재로서는 완전한 해결 방법이 없지만 몇 가지 방어 수단은 있습니다.

Windows MSHTML 플랫폼

MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer와 Microsoft Edge의 Internet Explorer 모드에서도 사용됩니다. 발견된 권한 상승 취약점( 실제 악용된 취약점 참고) 외에도 CVE-2023-35336 과 CVE-2023-35308의 두 가지 보안 우회 취약점이 있습니다. 두 가지 취약점에 대한 자료를 보면, MSHTML이 특정 URL에서 보안 구역의 유효성을 올바르게 검사하지 못하는 것으로 보입니다. 예를 들어 외부 URL을 로컬 URL로 오인할 수 있습니다. Akamai의 보안 구역 전문가 벤 바네아(Ben Barnea)는 URL이 인터넷 경로인지, 로컬 경로(컴퓨터/네트워크)인지 등을 확인하는 데 자주 사용되는 기능인 MapUrlToZone에서 유사한 취약점을 발견한 바 있습니다.

Windows RRAS(Routing and Remote Access Service)

RRAS(Routing and Remote Access Service)는 운영 체제가 라우터처럼 작동해 VPN이나 전화 접속을 통한 사이트 간 연결을 허용하도록 하는 Windows 서비스입니다. 이번 달에는 서비스에서 세 가지 중요한 취약점이 발견되었으며, 모두 9.8의 높은 CVSS 점수를 받았습니다. 패치 자료에는 서버로 전송된 특수하게 조작된 패킷이 원격 코드 실행을 트리거할 수 있다는 것 외에는 많은 정보가 없습니다.

RRAS는 모든 Windows 서버에서 사용할 수 있는 것은 아니며, 원격 접속 역할의 일부로 제공되어 별도 설치가 필요합니다. 관찰 결과, 모니터링한 환경의 약 15%에 원격 접속 역할이 설치된 Windows 서버가 있는 것으로 나타났습니다.

Remote Procedure Call 런타임

이번 달에 패치된 RPC 런타임 CVE는 14가지이며, 대부분 DoS(Denial of Service) 공격과 관련이 있습니다. 이중 하나의 CVE(CVE-2023-35300)만 원격 코드 실행을 획득할 수 있으며, 이외의 내용은 패치에 없습니다. Akamai는 패치를 리버싱하여 MORSE(Microsoft Offensive Research & Security Engineering) 팀이 NDR 언마샬링 엔진에 대해 광범위한 작업을 수행한 것을 확인했습니다. MS-RPC에 대한 자세한 정보는 Akamai RPC 툴킷의 여러 유용한 기사 링크 및 툴을 통해 확인하실 수 있습니다.