2023년 5월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
얼마 전 미국 워싱턴 주 레드몬드에서...
사이버 전쟁의 기간입니다. 네트워크 관리자는 새로운 패치 화요일(Patch Tuesday)을 적용하기 위해 끊임없이 일하고 있습니다.
이번 달에도 Akamai Security Intelligence Group은 패치된 흥미로운 취약점을 조사했습니다.
이번에는 CVE가 단 40개로 지난달보다 훨씬 적은 것을 보니 행운이 따른 것 같습니다. 패치된 CVE 중 7개는 위험도가 높았고(그중 하나는 당사 직원 벤 바니아(Ben Barnea)가 발견함) 다른 2개는 PGM 및 NFS에서 CVSS 점수가 9.8이었습니다. 패치된 CVE 중 2개는 실제로 사용됐으며, 패치된 제로데이 취약점으로 지정됐습니다.
이 보고서에서는 취약점의 심각성과 영향을 받은 애플리케이션 및 서비스 보편성을 평가하고 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 당일에 Twitter 계정에서 간단한 실시간 개요 자료도 확인할 수 있습니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이 보고서에서는 버그가 패치된 다음 부문을 집중적으로 소개합니다.
실제 악용된 취약점
Windows Win32k - CVE-2023-29336
이는 주로 GUI 및 윈도우 관리 등 Windows 커널의 Windows 하위 시스템을 처리하는 Win32k의 로컬 권한 상승 취약점입니다. Avast의 보안 연구자들이 탐지했으며 시스템에 대한 권한을 상승시키는 데 사용될 수 있습니다.
Secure Boot - CVE-2023-24932
이 취약점을 통해 공격자는 시스템 부팅에 신뢰할 수 있는 소프트웨어만 사용하도록 하는 Secure Boot를 우회할 수 있습니다. BlackLotus 에서 부트키트를 로딩하는 데 사용되었습니다. 패치 자체는 취약점으로 인한 리스크를 방어할 수 없습니다.
또한 관리자는 모든 Windows 백업 및 부팅 가능한 미디어를 업데이트하고 철회 및 새로운 정책을 적용해야 합니다. Microsoft는 변경 사항을 배포하는 방법에 대한 가이드를 제공하기 위해 KB5025885 를 릴리스했습니다.
Akamai 연구원이 발견한 취약점
Windows MSHTML Platform - CVE-2023-29324
이 취약점은 MapUrlToZone 기능의 우회입니다. 이 기능은 특정 경로를 잘못 구문 분석하여 원격 경로를 로컬 경로로 해석합니다.
MapUrlToZone은 3월에 패치된 주요 Outlook 취약점 에 대한 방어 조치로 사용되었으므로, 새 취약점을 통해 해당 취약점이 다시 악용될 수 있습니다.
우리는 이 문제에 대한 자세한 기사 를 게시했습니다.
Windows SMB - CVE-2023-24898
QUIC를 통해 SMB를 실행하는 서버는 서비스 거부 공격에 취약합니다. 이 취약점은 공격자의 인증 없이 쉽게 악용될 수 있습니다. QUIC를 통한 SMB는 비교적 새로운 기능이므로 많은 머신이 취약할 것으로 예상되지 않습니다.
Windows NFS(Network File System)
NFS는 네트워크를 통한 원격 파일 접속을 가능하게 하기 위해 Sun Microsystems가 처음 개발한 네트워크 프로토콜입니다. NFS 구축은 Microsoft Windows에 있으며 NFS 역할을 서버에 추가하여 서버를 NFS 서버로 전환할 수 있습니다. 이번 달에는 원격 코드 실행을 유발할 수 있는 세 가지 취약점(그 중 하나는 위험도가 높음)이 있습니다.
범위 분석
NFS 기능을 사용하려면 먼저 Windows 서버와 클라이언트에 추가해야 합니다. 이 기능은 Windows Server의 파일 및 스토리지 서비스 서버 역할에 포함됩니다.
NFS는 일반적으로 포트 111(Sun RPC의 EpMapper 포트. NFS의 초기 버전은 Sun RPC에서 구축됨)과 포트 2049를 사용합니다. 다양한 데이터 센터를 살펴본 결과 0.1%만이 NFSv4 서버이며 약 절반만이 Windows를 실행하고 있습니다.
일반 권장 사항
일반적으로 NFS 서버에서 가장 안전한 버전인 NFS v4.1을 사용하도록 업그레이드할 것을 권장합니다. 하지만 이번 원격 코드 실행 취약점은 NFS v4에만 영향을 주므로 업그레이드를 권장하지 않습니다.
대신 NFS 서버 세그멘테이션을 권장합니다. NFS 클라이언트를 소규모 서버 및 워크스테이션 그룹으로 제한(링펜싱)하고 NFS 서버의 아웃바운드 트래픽을 제한할 수 있는지 확인해야 합니다. NFS는 서버이기 때문에 연결을 시작할 이유가 거의 없어야 합니다. 세그멘테이션으로 악용 성공 시의 영향을 제한할 수 있습니다.
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|
원격 코드 실행 |
네트워크 |
|
정보 유출 |
||
서비스 거부 |
Windows LDAP(Lightweight Directory Access Protocol)
LDAP는 디렉터리 서비스 및 데이터베이스를 연결하고 쿼리하기 위해 설계된 오픈 소스 프로토콜입니다. Active Directory의 도메인 컨트롤러에는 LDAP 서버 구축이 있어 LDAP를 사용하는 기존 프로그램 및 서버가 별도의 서버 없이 기존 도메인 컨트롤러를 사용할 수 있습니다.
이번 달에는 패치되지 않은 도메인 컨트롤러에 영향을 주는 LDAP 서비스에 한 가지 취약점이 있습니다. CVE-2023-28283 는 인증 전에 악용될 수 있는 원격 코드 실행 취약점입니다.
Akamai는 도메인 컨트롤러를 패치할 수 없으며 다운타임이 발생해서는 안 됩니다. 취약점을 다른 곳에서 방어할 수 있을까요?
그렇지 않습니다. 도메인 컨트롤러는 도메인의 모든 부분에 통합되어 있기 때문에 정상적인 네트워크 운영을 중단하지 않고 접속을 제한하는 것은 사실상 불가능합니다. 심지어 CVE-2023-28283 는 인증이 필요하지 않으므로 추적이 어려울 수 있습니다. 인시던트 대응팀은 서버로부터 응답이 없는 단기간 LDAP 세션을 조회할 수 있습니다. 이는 악용 시도를 의미할 수 있습니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 게시물을 확인해 보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
|
정보 유출 |
로컬에서 인증 |
|
원격 코드 실행 |
네트워크 |
||
원격 코드 실행 |
사이트 소유자 권한으로 인증 |
||
스푸핑 |
사이트 만들기 권한으로 인증, NTLM 해시 유출이 발생할 수 있음 |
||
정보 유출 |
인증 |
||
원격 코드 실행 |
네트워크 |
||
서비스 거부 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 Twitter 계정을 방문하여 실시간 업데이트를 확인할 수 있습니다.
