2024년 5월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
1년에 스타워즈 데이는 한 번뿐인데 패치 화요일은 12번이나 있으니 정말 안타깝습니다.
어쨌든 이번 5월 업데이트에는 59개의 CVE가 포함되어 있으며 그 중 중요한 것은 단 하나뿐이지만(Microsoft SharePoint Server에서), 인터넷에서 발견된두 가지 취약점에 대한 패치도 포함되어 있습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
인터넷에서 발견된 취약점
CVE-2024-30040 — Windows MSHTML 플랫폼
MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM(Component Object Model) 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer, Microsoft Edge의 Internet Explorer 모드, Microsoft Outlook, 기타 다양한 프로그램에서 사용됩니다.
MSHTML 플랫폼에서 여러 취약점이 발견되었으며(Akamai 연구원이 발견한 취약점 포함), 방어 메커니즘을 우회할 수 있고 Windows에 내장된 기능이라는 점 때문에 공격자들에게 매력적인 악용 표적이 되고 있습니다.
MSRC(Microsoft Security Response Center)에 따르면 이번에 발견된 취약점은 Microsoft 365 및 Microsoft Office의 OLE 방어 기능을 우회합니다. 이 취약점은 공격자가 일종의 소셜 엔지니어링을 통해 사용자가 악성 파일을 다운로드하고 열도록 유도해야 하며, 악성 파일이 열리고 취약점이 트리거되면 피해 사용자의 맥락에서 코드 실행을 허용합니다.
CVE-2024-30051 - Windows DWM Core Library
이 취약점은 이전 취약점과 달리 Windows DWM(Desktop Window Manager)의 권한 상승 취약점입니다. DWM은 화면에 표시되는 창을 관리하는 역할을 하며, Windows Vista부터 Windows의 일부로 제공되어 왔고 dwm.exe 프로세스에 구축되어 있습니다.
이 취약점은 Kaspersky가 발견했으며, QakBot Trojan 캠페인에 악용되는 것으로 확인되었습니다.
Microsoft SharePoint는 웹 기반 문서 관리 및 스토리지 시스템으로, 다른 Microsoft Office 제품과 통합되어 있습니다. 이번 달에는 두 가지 CVE가 발표되었는데, 하나는 CVSS 점수 8.8의 심각한 RCE(Remote Code Execution) 취약점(CVE-2024-30044)이고 다른 하나는 CVSS 점수 6.5의 정보 공개 취약점(CVE-2024-30043)입니다.
CVE-2024-30044 는 공격자가 최소한 SiteOwner 권한이 있는 계정으로 SharePoint 서버에 인증해야 합니다. 인증 후에는 위조된 파일을 업로드하고 API 요청을 사용해 접속해야 합니다. 이렇게 하면 파일 매개변수의 디시리얼라이제이션이 트리거되고 SharePoint 서버 프로세스에 코드 인젝션이 발생합니다. MSRC에 따르면 이 취약점은 “악용될 가능성이 더 높다”고 하는데, 이는 수많은 단계가 포함되지만 취약점을 트리거하는 것이 복잡하지 않다는 뜻입니다.
CVE-2024-30043 도 인증이 필요하며 공격자가 서버에 있는 파일 콘텐츠를 가져올 수 있습니다. 공격자가 보유한 사용자 권한에 따라 공격자가 접속할 수 있는 파일의 범위가 증가합니다.
관찰 결과, 약 30% 의 환경에서 SharePoint 서버가 설치된 머신이 한 대 이상 있는 것으로 나타났습니다.
SharePoint 서버는 보통 문서 공유에 사용되기 때문에, 일반 작업에 피해를 주지 않고 사용자 접속을 세그멘테이션하거나 제한하기란 쉽지 않을 수 있습니다. 따라서 가능한 한 빨리 시스템을 패치하는 것이 좋습니다.
그러나 두 CVE 모두 사용자 인증을 요구하므로 사용자 접속을 강화하거나 의심스러운 사용자 활동 또는 로그인에 대한 알림 민감도를 높여 일부 리스크를 방어할 수 있습니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
원격 코드 실행 |
네트워크 |
||
원격 코드 실행 |
네트워크, 사용자가 악성 SQL 서버에 연결 |
||
서비스 거부 |
네트워크 |
||
정보 유출 |
로컬 |
||
스푸핑 |
네트워크, 인증 필요 |
||
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.