2024년 11월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
추수감사절을 기다리는 동안 패치 화요일 주간을 맞아 감사 인사를 전합니다. 이번 달에는 39개 구성요소에 걸쳐 총 89개의 CVE가 발견되었습니다. 이 중 4건은 심각하고 2건을 실제로찾았습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
인터넷에서 발견된 취약점
CVE-2024-49039 - Windows Task Scheduler(CVSS 8.8)
Windows Task Scheduler는 사용자가 예약된 방식으로 명령 또는 프로그램(작업)의 실행을 자동으로 지정할 수 있도록 하는 Windows의 핵심 구성요소입니다. 이 요소는 모든 Windows 시스템에서 기본적으로 사용할 수 있습니다. 사용자는 관리 콘솔을 사용해 쉽게 상호 작용을 할 수 있지만, 프로그램과 프로세스는 RPC 인터페이스를 통해서도 쉽게 상호 작용을 할 수 있습니다.
일반적으로 RPC 인터페이스는 엄격한 접속 제어가 필요하며 권한이 있는 사용자만 작업을 만들거나 실행할 수 있습니다. CVE-2024-49039 는 이러한 검사 중 일부를 우회하는 것으로 보입니다. 패치 노트에 따르면, 무결성이 낮은 AppContainer (신뢰할 수 없는 프로그램의 접속을 제한하기 위한 보안 메커니즘)는 작업 스케줄러를 악용해 RPC 인터페이스를 통해 정상보다 높은 무결성 수준에서 명령을 실행할 수 있다고 합니다.
CVE-2024-43451 - Windows MSHTML 플랫폼(CVSS 6.5)
CVE 노트에 MSHTML 플랫폼이 영향을 받는 구성요소라고 언급되어 있으므로 이 부분을 집중적으로 살펴볼 것입니다.
MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM(Component Object Model) 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer, Microsoft Edge의 Internet Explorer 모드, Microsoft Outlook, 기타 다양한 프로그램에서 사용됩니다.
과거에는 MSHTML 플랫폼에서 여러 취약점이 발견되었으며(Akamai 연구원이 발견한 취약점 포함), 방어 메커니즘을 우회할 수 있고 Windows에 내장된 기능이라는 점 때문에 공격자들에게 매력적인 악용 표적이 되고 있습니다.
이번에는 특수하게 조작된 파일이 사용자가 파일을 열 때 NTLMv2 해시 유출을 일으킬 수 있는 것으로 보입니다. NTLM은 Windows의 인증 프로토콜 중 하나로, 비밀번호 해시가 유출되면 인증 릴레이 공격으로 이어지거나 오프라인 크래킹에 비밀번호 해시가 사용되어 사용자의 일반 텍스트 비밀번호를 가져올 수 있습니다.
Microsoft Windows VMSwitch
VMSwitch는 Microsoft의 하이퍼바이저 구축인 Hyper-V의 구성요소입니다. Hyper-V는 가상 머신 실행에 사용되는 것 외에도 커널을 넘어 권한 있고 안전한 하이퍼바이저를 제공함으로써 최신 Windows 버전에서 보안에 중요한 역할을 합니다.
VMSwitch는 Hyper-V에서 호스팅되는 가상 머신(VM) 간의 네트워크 트래픽을 담당하는 드라이버입니다. 이는 반가상화된 구성요소로, Hyper-V 게스트가 상호 작용을 할 때 호스트에서 직접 실행됩니다. 따라서 게스트 대 호스트 공격이 가능하기 때문에 수익성이 높은 리서치 대상이 됩니다.
놀랍고도 놀랍게도 CVE-2024-43625 가 바로 그렇게 공격합니다. Hyper-V 게스트에서 실행되는 공격자는 특별히 조작된 네트워킹 요청을 VMSwitch로 전송해 호스트의 맥락에서 코드를 실행하는 데 악용될 수 있는 use after free 를 확보할 수 있습니다. Hyper-V가 Microsoft Azure의 하이퍼바이저이기도 하므로 이 취약점이 미치는 영향은 더욱 클 수 있습니다.
VMSwitch가 표적이 된 것은 이번이 처음이 아닙니다. 실제로 Akamai는 자체 리서치 를 통해 2021년에 심각한 9.9 RCE 취약점을 발견했으며 그해 BlackHat에서 그 결과를 발표하기도 했습니다.
이 심각한 취약점 외에도 Hyper-V에 영향을 미치는 두 가지 CVE가 더 있습니다.
CVE 번호 |
영향 |
|---|---|
서비스 거부 |
|
권한 상승 |
다음 osquery를 실행해 Hyper-V 사용을 탐지할 수 있습니다.
select name, statename from windows_optional_features where name like 'Microsoft-Hyper-V%'
관찰 결과, 93%의 환경에서 Hyper-V가 활성화된 머신이 있었으며, 평균적으로 네트워크의 25%에 달했습니다.
Windows Kerberos
Kerberos는 Windows 도메인 아키텍처의 중추 역할을 합니다. 기본 인증 메커니즘으로, NTLM을 대체했습니다. 이번 달에 패치된 Kerberos에는 치명적인 취약점이 하나 있었습니다. 바로 CVE-2024-43639 (CVSS 9.8)입니다.
이 공격을 성공적으로 악용하면 원격 코드 실행이 가능하며 인증이 필요하지 않습니다. 이는 암호화 취약점이라는 점과 함께 이 공격이 도메인에 처음 로그온할 때 발생하는 Kerberos 사전 인증 프로세스를 표적으로 삼을 수 있다고 생각하게 합니다. 즉, 이 공격은 주로 도메인 컨트롤러를 대상으로 하지만 다른 모든 Windows 머신에서 작동하도록 조정될 수 있습니다. 암호화 취약점이 실제로 티켓 구문 분석 구축에 있는 경우 인증 프로세스의 후반 단계에서 이 취약점을 적용할 수 있습니다.
Windows SMBv3 Server
SMBv3는 새로운 전송 프로토콜인 QUIC 프로토콜을 통해 SMB 파일 서버를 실행하는 것을 말합니다. (2012년에 도입되어 2021년에 표준화되었습니다. 참고로 TCP는 1974년에 도입되어 1980년에 표준화되었습니다.) 이 프로토콜은 UDP 위에 구축되며 멀티플렉싱, 암호화 등을 지원합니다. Microsoft는 Windows에도 QUIC을 통합하고 있으며, 최신 버전의 Windows(11 및 서버 2025)에서는 이미 다양한 방식으로 이를 지원하고 있습니다.
CVE-2024-43447을 통해 악성 클라이언트는 피해 SMBv3 서버에서 더블 프리 를 트리거할 수 있으며 성공적으로 악용될 경우 원격 코드 실행으로 이어질 수 있습니다. 이는 심각한 문제가 될 수 있지만 아직 QUIC이 널리 퍼져 있지 않기 때문에 실생활에 미치는 잠재적 영향은 매우 낮습니다. 실제로 Akamai의 관찰 결과 전체 환경의 8%만이 QUIC이 활성화된 서버를 보유하고 있습니다. 이 8% 중 SMBv3 서버는 기본적으로 켜져 있지 않기 때문에그 비율은 훨씬 더 낮습니다.
우려되는 네트워크 관리자는 UDP 포트 443을 통해 통신하기 때문에 세그멘테이션을 사용해 QUIC 트래픽을 제한할 수 있습니다. 또는 SMB 파일 서버가 있는 경우 해당 서버에서 QUIC 지원을 비활성화할 수 있습니다.
이 취약점 외에도 일반 SMB에는 또 다른 서비스 거부 취약점인 CVE-2024-43642가 있습니다.
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
스푸핑 |
네트워크, 인증되지 않음 |
||
원격 코드 실행 |
네트워크 |
||
권한 상승 |
로컬 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.