2022년 10월의 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점

Azure Arc 지원 Kubernetes Cluster Connect

Azure Arc를 통해 고객은 온프레미스 인프라를 Azure에 연결하여 간편하게 관리할 수 있습니다. 이러한 방식으로 고객은 Azure Resource Manager를 사용하여 가상 시스템, Kubernetes 클러스터, 데이터베이스, 서버 등 모든 환경을 관리할 수 있습니다. Azure Arc 지원 Kubernetes 사용자가 클라우드 환경이든 온프레미스 환경이든 실행 중인 위치에 관계없이 Kubernetes를 연결하고 구성할 수 있으며 Azure Resource Manager에 표시합니다. 

이번 달에는 Azure Arc 지원 Kubernetes Cluster Connect 기능에 CVSS 점수가 10인 심각한 권한 상승 취약점이 한 개 있었습니다. Cluster Connect는 고객이 클러스터에서 역방향 프록시 에이전트를 실행하여 Kubernetes 클러스터를 Azure Arc 서비스에 쉽게 연결할 수 있도록 하는 기능입니다. 또한 사용자가 클러스터 내 API 서버에 방화벽에서 인바운드 포트를 활성화하지 않은 채 연결하도록 합니다. 이 CVE는 누구나 인터넷에서 접속할 수 있다는 점이 최고 점수를 받은 요인 중 하나라고 생각합니다.

Microsoft에 따르면 공격자가 이 취약점을 악용하려면 클러스터에 대해 임의로 생성된 외부 DNS 엔드포인트를 알고 인터넷에 접속할 수 있어야 합니다. 취약점 악용에 성공한 경우 Cluster Connect 기능은 인증되지 않은 사용자가 클러스터 관리자로서 권한을 상승시킬 수 있도록 허용하며이는 Kubernetes 클러스터에 대한 제어 권한을 부여할 수 있습니다. Azure Stack Edge는 고객이 Azure Arc를 통해 디바이스에 Kubernetes 워크로드를 배포할 수 있기 때문에 취약한 Azure Arc에 연결된 경우에도 이 CVE에 취약합니다.

일반 권장 사항

Azure Arc를 사용하는 Kubernetes Cluster Connect 기능은 TCP 포트 443을 통해 통신하므로 이 포트의 세그먼트화는 간단하지 않습니다. 하지만 Azure Arc를 사용하는 경우 자동 업그레이드가 기본적으로 활성화되어 있으므로 보호를 받아야 합니다. 보호 여부를 확신할 수 없는 경우 여기를 클릭하여 자동 업그레이드가 활성화되어 있는지 확인합니다. 그렇지 않은 경우 이 에이전트 수동 업그레이드를 사용합니다.

CVE

Microsoft CryptoAPI

Microsoft CryptoAPI는 보안 연결 및 코드 서명 확인을 처리하기 위한 Microsoft의 독자적인 방법입니다. CryptoAPI의 가장 중요한 역할 중 하나는 인증서 처리입니다.

Microsoft는 2022년 8월 패치 화요일에 CryptoAPI 라이브러리와 관련된 문제를 해결했습니다. 이 문제는 영국 국립 사이버 보안 센터(National Cyber Security Center) 및 미국 국립 사이버 보안 기구가 발표했으며, 이 권고는 10월에 발표되었습니다. 

가장 관련 있는 변경 사항은 함수 CreateChainContextFromPathGraph 가 변경된 crypt32.dill에서 발생했다고 여겨집니다. 이 취약점은 이러한 변경 사항과 관련이 있다고 생각됩니다.

CreateChainContextFromPathGraph 는 CertGetCertificateChain에 의해 호출되며이는 인증서 체인 컨텍스트를 구축하기 위해 보안 연결이 이루어질 때마다 실행되는 잘 문서화된 API 호출입니다. 현재 기능 내부의 누락된 검사에 취약점이 있는 것으로 의심됩니다.

성공하면 공격자는 보안 연결에서 합법적인 파트너로 자신의 ID와 가장자를 스푸핑할 수 있습니다. 이렇게 하려면 공격자가 중간 시스템 공격을 수행해야 할 수 있습니다. 또한  패치 노트를 통해  공격자가 이 취약점을 악용하기 위해 인증할 필요가 없다는 사실을 알 수 있습니다. 공격자는 코드 서명 보호를 우회하기 위해 X509 인증서를 조작할 수도 있습니다.

일반 권장 사항

Microsoft는 이 취약점이 인증 없이 원격으로 악용될 수 있다고 설명합니다.  Microsoft CryptoAPI는 Windows에서 널리 사용되며 모든 Windows 엔드포인트에 있으므로 패치를 설치하는 것이 좋습니다. 또한 이 취약점은 8월의 패치 화요일에 패치되었다는 점에 주목할 필요가 있습니다. 따라서 8월 이후의 업데이트가 포함된 컴퓨터는 이 취약점으로부터 보호됩니다.

CVE

Windows Point-to-Point Tunneling Protocol 

PPP(Point-to-Point Protocol)는 RAS(원격 접속 서버)에 포함되어 원격 연결을 위한 프레이밍 및 인증 기능을 제공합니다.

이번 달에는 PPP에 7개의 취약점이 패치되었습니다. 이 취약점 모두 CVSS 점수가 8.1인 심각한 RCE(원격 코드 실행) 취약점입니다. 지난 8월동일한 연구원인 Yuki Chen은 CVSS 점수가 9.8인 동일한 프로토콜에서 두 개의 RCE 취약점을 발견했습니다.

Microsoft의 권고에 따르면 비인증 원격 공격자는 조작된 PPTP 패킷을 보내 PPTP(Point-to-Point Tunneling Protocol) 서버의 코드 실행을 확보할 수 있습니다. 그러나 7가지 취약점 모두 공격의 복잡성으로 인해 거의 악용되지 않는 것으로 보입니다. 악용을 위해서는 경쟁 조건을 획득해야 하며, 이는 명확하지 않고 시간이 필요할 수 있습니다. 

PPTP의 영향력 모니터링한 환경에서 쿼리한 Windows Server 중 40%가 PPTP의 표준 포트인 포트 1723을 통해 연결을 받았습니다. 인터넷에 노출된 서버의 경우 Shodan의 보고에 따르면 1723에서 수신되는 330만 대의 서버 중 그들 중 거의 대부분이 Windows를 실행하지 않습니다.

버그 위치 이 취약점은 PPTP를 구현하는 드라이버인 raspptp.sys에 있다고 의심됩니다.

일반 권장 사항

Microsoft는 1723번 포트를 통해 통신하는 경우에만 취약점을 악용할 수 있다고 설명합니다. 따라서 패치 적용 외에도 네트워크에서 RAS 서버를 분할하고 이 포트에서 연결을 차단함으로써 악용을 방지할 수 있습니다. 그러나 포트를 차단하면 일반 통신이 중단될 수 있습니다.

CVE

Microsoft Office

Microsoft Office는 클라이언트 소프트웨어 제품군입니다. 10월의 패치 화요일은 Office 응용 프로그램의 몇 가지 중요한 취약점을 수정했습니다.  이 취약점 중 세 가지는 악의적인 행위자가 성공적으로 악용할 경우 임의 코드 실행을 유발할 수 있습니다. 또 다른 취약점(CVE-2022-38001)은 스푸핑 취약점이며, 인증 강제를 초래한다고 여겨집니다. Microsoft는 미리 보기 창에서 이 문제를 트리거할 수 없는 것으로 설명하므로 이러한 취약점이 표시/실행하기 전에 사용자 조작이 필요한 매크로와 관련이 있는 것으로 가정합니다. 

일반 권장 사항

이 취약점은 Office 365가 아닌 Microsoft Office 응용 프로그램 제품군과 관련이 있습니다. 따라서 Microsoft Office를 사용하는 고객은 컴퓨터를 업데이트해야 합니다. Microsoft Office의 다양한 응용 프로그램은 많은 공격 표면을 노출하고 취약점을 반복적으로 노출하므로 가능한 경우 Office용 Application Guard를 사용하는 것이 좋습니다. Application Guard는 첨부 파일을 여는 프로세스를 샌드박스(sandbox)로 보호하므로 악용이 성공할 경우 호스트 컴퓨터에 피해를 주지 않습니다.

CVE

Active Directory Certificate Services

AD DS(Active Directory Domain Services)는 Active Directory의 핵심 구성 요소입니다. 이 역할을 실행하는 서버는 Windows 도메인의 도메인 컨트롤러입니다.

범위 분석

모든 Windows 도메인 네트워크에는 AD DS를 실행하는 Windows Server, 즉 도메인 컨트롤러가 최소 하나는 있습니다.

이번 달의 취약점은 디폴트로는 사용할 수 없는 이 AD CS(Active Directory Certificate Services)에 있기 때문에 추가 역할을 설치해야 합니다. 고객 환경에서 모니터링되는 Windows Server에서 이를 확인할 수 있습니다. 66% 의 모니터링되는 네트워크는 AD CS 역할을 가진 서버가 있습니다.

AD CS는 공격자에게 악용되는 것으로 알려져 있습니다. 가장 악명 높은 최근의 사례  PetitPotam에서는 NTLM 릴레이를 사용하여 공격 흐름에서 대상으로 사용되었습니다( 우수한 연구 사용).

일반 권장 사항

AD CS 서버는 수가 적고 거리가 멀기 때문에 네트워크 분할을 사용하여 비정상적인 연결을 제한하거나 가시성을 확보할 수 있어야 합니다. AD CS 인증은 RPC를 통해 이루어지기 때문에 대부분의 세그멘테이션 솔루션이 제공하는 연결 메타데이터만으로는 탐지하기 어려울 수 있습니다(임의의 일시적 포트에서 발생하기 때문). 이 경우에도 RPC 엔드포인트 매퍼 포트 135를 사용하여 나가는 RPC 연결을 Windows 서버, 특히 RPC 연결을 받지 않아야 하는 데스크톱 컴퓨터에서 분할할 수 있습니다.

CVE 분석

CVE-2022-37976을 사용할 경우 공격은 AD CS 서버를 대상으로 하지 않고 유일한 요구 사항으로 이 서버에 의존합니다. 공격은 DCOM 서버에 대한 인증 강제 공격입니다. Microsoft에 따르면 악성 DCOM 클라이언트는 이 취약점을 악용하여 DCOM 서버가 AD CS를 사용하여 클라이언트에 자신을 인증하도록 하고 해당 인증을 다시 전달하여 도메인 관리자 토큰에 도달할 수 있습니다.

반면 CVE-2022-37978은 NTLM 인증을 중심으로 합니다. 이 취약점의 FAQ에서는 공격에 MITM(Machine in the Middle)이 필요하며 NTLM 인증과 관련이 있다고 명시하므로 이 취약점은 AD CS 서버에 존재하는 NTLM 릴레이 방어를 우회하는 것으로 판단됩니다.

Microsoft SharePoint 

Microsoft SharePoint는 웹 기반 문서 관리 및 스토리지 시스템으로, 다른 Microsoft Office 제품과 통합되어 있습니다. 이번 달에는 4개의 RCE 취약점이 있으며 모두 CVSS 8.8이지만 그 중 Critical (그 외는 Important)도 한 개 존재합니다. 네 가지 취약점 모두 공격자가 인증을 받고 “목록 관리” 권한을 가지고 있어야 합니다. 이는 지난달의 취약점과 매우 유사하며, 이는 Microsoft의 패치에 문제가 있고 추가 수정을 추가해야 한다는 것을 의미할 수 있습니다.

범위

SharePoint는 전용 설치가 필요하며, 기본으로 제공되지 않습니다. 단일 서버 또는 클러스터에 설치할 수 있습니다. 모니터링되는 환경에서는 21% 의 네트워크에 하나 이상의 SharePoint 서버가 있는 것으로 확인되었습니다.

일반 권장 사항

SharePoint 서버가 보통 문서 사용을 지원하기 때문에 일반적인 사용에 피해를 입히지 않고 사용자 접속을 분류하거나 제한하기란 쉽지 않을 수 있습니다. 그러나 네 가지 취약점에서 공격이 이루어지기 위해서는 특정한 권한이 필요하기 때문에 이러한 권한을 통해 공격 표면을 줄이는 것은 가능합니다. 사용자 권한을 줄이고 관리하는 일은 길고 지루한 과정일 수 있으므로 서버를 패치하는 것이 더 좋은 방법입니다.

관리 목록을 모두 삭제하기란 불가능할 수 있으므로 권한 있는 사용자 목록을 폐기하거나 라이브러리 또는 목록으로 제한할 수 있을 것입니다. 또한 이와 같이 권한 있는 사용자에 대한 모니터링을 늘리고 로그온 활동과 관련된 작은 이상이라도 보안 알림을 발동하거나 SharePoint 접속에 더해 로그온 알림을 요구하는 맞춤 규칙을 생성할 수도 있습니다.

CVE