2023년 11월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
핼러윈은 지났지만 하누카나 크리스마스까지는 아직 시간이 좀 있군요. 이 기간을 즐겁게 보내려면 어떻게 해야 할까요? 바로 패치 노트를 읽으셔야 합니다. 이번 달에 패치된 57개의 CVE 중 중대한 결함은 3개입니다. 가장 높은 CVE 등급은 9.8이며 중대한 결함 중 2개가 여기에 해당합니다. 또한 공공연히 악용되는 것으로 보고된 3가지 취약점도 있습니다.
이 보고서에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
실제 악용된 취약점
CVE-2023-36025 — Windows SmartScreen(CVSS 8.8)
이 취약점은 인터넷 바로 가기 파일(.url)이나 해당 파일을 가리키는 하이퍼링크를 열 때 SmartScreen 보안 경고를 건너뛰는 보안 우회 취약점입니다. 취약점을 트리거하려면 바로 가기 파일을 특수 조작해야 합니다. SmartScreen 우회 취약점이 공격자에 의해 적극적으로 악용된 것은 이번이 처음이 아닙니다. Google의 TAG(Threat Analysis Group)는 과거에도 Windows SmartScreen 우회 취약점을 사용한 Magniber 랜섬웨어를 탐지하고 보고했습니다.
CVE-2023-36036 — Windows 클라우드 파일 미니 필터 드라이버(CVSS 7.8)
공격자가 SYSTEM 권한을 획득할 수 있는 권한 상승 취약점입니다. 클라우드 파일 미니 필터는 클라우드 동기화 엔진의 일부로서,클라우드 기반 파일 시스템과 동기화하고 작업하기 위한 WinAPI 접속 권한을 제공합니다. 필터 드라이버는 cldflt.sys 파일에 구축됩니다.
CVE-2023-36033 - Windows DWM 코어 라이브러리(CVSS 7.8)
또 다른 권한 상승 취약점이지만, 이번에는 Windows DWM(바탕 화면 창 관리자)에 있습니다. 화면에 표시되는 창을 관리하는 DWM은 Windows Vista 이후 Windows의 일부였으며 dwm.exe 프로세스에서 구축됩니다. 이 취약점은 특히 해당 프로세스에 로드되는 코어 라이브러리인 dwmcore.dll에 있습니다.
Windows Pragmatic General Multicast
Windows PGM(Pragmatic General Multicast)은 신뢰할 수 있는 방식으로 여러 네트워크 구성원에 패킷을 전달하도록 설계된 프로토콜입니다. Windows에서 이 프로토콜 구축을 신뢰할 수 있는 멀티캐스트 프로그래밍이라고 합니다. CVSS 점수가 9.8인 이 프로토콜의 심각한 원격 코드 실행 취약점은 이번 패치 화요일(Patch Tuesday)에서 수정되었습니다.
Windows Server 2003 이후로 PGM은 Windows 소켓을 사용합니다. 사용자 공간에서 이는 wshrm.dll(PGM용 Windows Sockets Helper DLL)이라는 라이브러리에 구축됩니다.여기서“rm”은 원격 멀티캐스트의 약어입니다. 커널 공간에서 PGM은 rmcast.sys 드라이버를 통해 구축됩니다.
Microsoft의 CVE 방어에 따르면, 취약점이 악용되기 위해서는 Message Queuing 서비스가 실행 중이어야 합니다. 이 서비스는 기본적으로 설치되어 있지 않아 제어판의 기능 화면을 통해 추가해야 합니다.
Akamai의 관측에 따르면 사용 환경의 약 50%에 Message Queuing 서비스가 설치되어 실행 중이었고, 25%는 서버에 PGM이 설치된 것으로 나타났습니다. 대부분의 데이터 센터에서 Message Queuing이 활성화된 머신은 거의 없었지만, 일부 환경에서는 여러 서버에서 이 서비스가 실행되고 있었습니다.
취약점과 상관없이 공격의 복잡성은 낮기 때문에 가능한 한 빨리 관련 서버를 패치하는 것이 좋습니다. 운영 연속성 또는 기타 이유로 인해 패치 적용이 불가능한 경우, 네크워크 세그멘테이션 정책을 적용해 서비스 접속을 제한하는 것을 권장합니다.
Message Queuing 서비스는 포트 1801을 통해 접속할 수 있지만, 많은 클라이언트가 이 경로로 접속하지 않습니다. 주로 엔터프라이즈 애플리케이션 자체에서 사용되기 때문입니다. 해당 포트 및 서비스에 대한 임의의 네트워크 접속을 제한하는 것을 권장합니다.. 허용 목록 정책을 사용해 세그멘테이션하고 실제로 필요한 머신에만 접속 권한을 부여하시기 바랍니다.
Microsoft Protected Extensible Authentication Protocol
PEAP( Protected Extensible Authentication Protocol )는 TLS 세션 내의 EAP( Extensible Authentication Protocol )를 캡슐화하는 프로토콜입니다. EAP는 디바이스 및 네트워크 연결을 인증하는 데 사용되며 Wi-Fi 네트워크 인증에도 사용됩니다.
Windows 서버는 NPS(Network Policy Server )라는 선택적 역할을 사용해 설정할 수 있으며 NPS를 사용해 EAP 및 PEAP를 통한 네트워크 연결 요청을 인증하고 허용할 수 있습니다. 이 기능은 기본적으로 활성화되어 있지 않기 때문에 NPS 역할을 수동으로 설치 및 설정해야 합니다. Akamai가 관측한 바에 따르면 NPS 서버가 있는 네트워크는 21%에 불과했습니다.
NPS는 네트워크의 중심이고 인증 요청도 처리해야 하므로 세그멘테이션 정책을 적용하는 것이 문제가 될 수 있습니다. 대신 Microsoft는 프로토콜 협상에서 PEAP를 차단하고 이를 구축하는 두 가지 소스를 제공해 방어할 수 있다고 밝혔습니다.
9.8점의 심각한 원격 코드 실행 취약점(CVE-2023-36028)은 이번 달에 패치되었습니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
원격 코드 실행 |
LAN 접속, 인증 |
||
원격 코드 실행 |
LAN 접속, 인증 |
||
스푸핑 |
|||
서비스 거부 |
네트워크 |
||
원격 코드 실행 |
네트워크, 사용자가 악성 서버에 연결해야 함 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.
