2023년 10월의 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다. 이번 달에 패치된 105개의 CVE 중 중대한 결함은 12개입니다. 가장 높은 CVE 등급은 9.8입니다. 실제로 악용된 것으로 보고된 취약점도 3개가 있습니다.
이번 달 보고서는 평소보다 짧은 길이로 실제 악용된 다음 취약점에 초점을 맞췄습니다.
실제 악용된 취약점
CVE-2023-44487 — HTTP/2 래피드 리셋 공격(CVSS 7.5)
이것은 DoS(Denial-of-Service) 취약점으로서 Google, Cloudflare, Amazon에서 발견 및 보고했습니다. 이로 인해 지금까지 역사상 가장 큰 규모의 DDoS(Distributed Denial-of-Service) 공격이 발생했으며, 이 취약점은 HTTP/2의 ‘래피드 리셋’이라는 기술을 통해 스트림 멀티플렉싱을 활용합니다.
방어
이 공격은 새로운 공격이기는 하지만 프로토콜 수준에서 발생하며, 속도 제어, 웹 애플리케이션 방화벽, Bot Manager Premier나 Client Reputation 등의 보안 제품 기능을 사용해 다른 레이어 7 DDoS 공격과 동일한 방식으로 Akamai가 고객을 대신해 방어할 수 있습니다.
Akamai가 보호하지 않는 HTTP/2를 사용하는 웹 서버는 벤더사 패치를 설치하거나 HTTP/2를 완전히 비활성화해 이 CVE의 악용을 방지해야 합니다.
Microsoft는 두 개의 레지스트리 키 EnableHttp2TIs 와 EnableHttp2Cleartext를통해 HTTP/2를 비활성화할 것을 권장합니다. 다음은 네트워크의 서버에서 Akamai Guardicore Segmentation 고객이 이 값을 읽는 데 사용할 수 있는 Osquery 쿼리입니다.
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 — Microsoft WordPad 정보 유출 취약점(CVSS 6.5)
공격자는 이 취약점을 통해 피해자의 NTLM 해시를 유출할 수 있습니다. 악용은 특수하게 제작된 애플리케이션을 실행하는 방식으로 또는 피해자가 악성 파일을 열도록 유도하는 방식으로 이루어질 수 있습니다. 이러한 인증정보가 어떻게 유출될 수 있는지에 대한 자세한 내용은 없지만, 이 공격에는 SMB를 통한 유출이 포함될 가능성이 높습니다.
Microsoft WordPad는 모든 Windows 엔드포인트에 설치되어 있습니다.
방어
패치 외에도 다음과 같은 조치를 권장합니다.
마이크로세그멘테이션을 사용해 WordPad 프로세스(wordpad.exe)에서 인터넷 대상에 대한 SMB 트래픽(TCP 포트 445)을 차단합니다.
Windows 11에서는 다음과 같이 그룹 정책을 통해 원격 위치로 NTLM 해시 자동 전송을 비활성화할 수 있습니다. 관리 템플릿 > 네트워크 > Lanman 워크스테이션 > NTLM 차단.
CVE-2023-41763 — 비즈니스용 Skype 권한 상승 취약점(CVSS 5.3)
실제로 악용된 마지막 취약점은 비즈니스용 Skype에 있습니다. 공격자는 표적이 된 비즈니스용 Skype 서버에 특수 호출을 할 수 있고, 이후 (공격자가 제어하는) 임의의 주소로 요청을 보내 IP 주소 또는 포트 번호를 밝혀낼 수 있습니다. 이러한 정보는 때때로 내부 네트워크에 대한 접속을 제공할 수 있으므로 해당 취약점에 권한 상승 등급이 부여됐습니다.
