2024년 10월의 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
이번 달에 CVE 개수가 꽤 많습니다. 하지만 CVE는 캔디처럼 파티 복장을 한 아이들에게 줘버릴 수 없습니다. 이번 달, 총 CVE 개수는 60개 구성요소에서 117개입니다. 이중 3개는 중요한 CVE이고, 2개는 실제로악용된 바 있으며, 1개는 Akamai가 찾았습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
인터넷에서 발견된 취약점
CVE-2024-43572 — Microsoft Management Console (CVSS 7.8)
Microsoft Management Console(mmc.exe)은 다양한 구성요소를 지원하는 그래픽 인터페이스입니다.
특히 Windows Event Viewer, Services Manager, Task Scheduler는 모두 Microsoft Management Console의 스냅인으로 구축됩니다.
스냅인 자체는 .msc 확장명을 가진 파일이기도 합니다. 이 파일을 통해 관리 콘솔은 표시할 내용 및 제공할 기능을 알 수 있습니다. (예를 들어 Event Viewer를 실행할 때 보이지 않게 mmc.exe eventvwr.msc 파일이 실행됩니다.)
이 취약점은 신뢰할 수 없는 .msc 파일 로드와 관련된 것으로 보입니다. 이를 잘못 처리할 경우 원격 코드 실행(RCE)으로 이어질 수 있습니다. 물론 이때 '원격'은 공격자와 피해자 사이의 거리를 나타냅니다. 피해자가 악성 .msc를 다운로드해 열어야 취약점이 트리거됩니다. 이번 달 패치에는 RCE 수정 외에도 신뢰할 수 없는 .msc가 로드되지 않도록 방지하는 수정 사항도 포함되어 있습니다.
CVE-2024-43573 - Windows MSHTML Platform (CVSS 6.5)
MSHTML은 Windows 운영 체제용 웹 페이지 렌더러입니다. COM(Component Object Model) 인터페이스를 노출해 프로그램이 웹 렌더링 기능을 추가할 수 있도록 합니다. Internet Explorer, Microsoft Edge의 Internet Explorer 모드, Microsoft Outlook, 기타 다양한 프로그램에서 사용됩니다.
과거에는 MSHTML 플랫폼에서 여러 취약점이 발견되었으며(Akamai 연구원이 발견한 취약점 포함), 방어 메커니즘을 우회할 수 있고 Windows에 내장된 기능이라는 점 때문에 공격자들에게 매력적인 악용 표적이 되고 있습니다.
Akamai 연구원이 발견한 취약점
CVE-2024-43532 — Remote Registry Service (CVSS 8.8)
Windows의 Remote Registry Service는 원격 컴퓨터 사이에서 Windows 레지스트리와 상호 작용을 지원하며, RPC(Remote Procedure Call) 프로토콜을 통해 구현됩니다. CVE-2024-43532는 Akamai의 스티브 쿱치크(Stiv Kupchik) 연구원이 발견했으며 2024년 2월에 공개되었습니다.
이 취약점은 실제로 원격 레지스트리 RPC 구축의 클라이언트 측에서 함수, RegConnectRegistry 및 RegConnectRegistryEx에 존재합니다. 근본 원인은 RPC 전송의 폴백 메커니즘입니다. 원격 레지스트리 트래픽은 일반적으로 SMB의 지정된 파이프를 통해 처리되지만, 지정된 파이프를 사용할 수 없는 경우에 대비해 클라이언트 구축에는 TCP에 대한 폴백 메커니즘이 포함되어 있습니다. 또한 보안 인증 및 암호화를 사용하는 SMB 트래픽과 달리, TCP 트래픽은 무결성 확인이나 암호화 없이 인증되므로 NTLM 릴레이 공격에 취약합니다.
이 취약점은 2024 No Hat 컨퍼런스에서 공개할 예정입니다. 자세한 내용은 컨퍼런스를 방문해 실시간으로 확인하거나 본 이벤트 후에 공개될 블로그 게시물을 참조하세요.
Microsoft Configuration Manager
Microsoft Configuration Manager는 Intune 소프트웨어 제품군에 속하며, IT 관리자가 다수의 Windows 컴퓨터 및 서버를 구성하고 관리하도록 지원합니다.
Configuration Manager 설정에는 여러 구성요소가 있지만, Akamai가 관심 있는 구성요소는 SQL 데이터베이스입니다 . CVE-2024-43468의 참고 사항 및 약점 ID에 따르면, 이 취약점을 성공적으로 악용할 경우 데이터베이스에서 명령을 실행할 수 있습니다. 그리고 모놀리식 단일 서버 설치인 경우 기본 Configuration Manager 서버에서도 명령을 실행할 수 있습니다.
Configuration Manager와 해당 콘솔 애플리케이션에 대한 패치가 있기 때문에, 데이터베이스 보안 자체의 문제라기 보다 서버에 입력한 값이 데이터베이스로 전달되기 전에 위생 처리되거나 검증되지 않아 문제가 발생할 수 있습니다. 따라서 세그멘테이션이 좋은 보안 조치이긴 하지만, 세그멘테이션을 통해 데이터베이스를 보안하는 것만으로는 이 취약점의 영향을 줄일 수 없습니다.
다음 OSquery를 통해 Configuration Manager 설치를 감지할 수 있습니다.
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Windows Remote Desktop
Windows Remote Desktop은 원격 데스크톱 프로토콜(RDP)을 통한 Windows 머신 간 원격 데스크톱 연결에 사용됩니다. 이번 달에는 Windows Remote Desktop의 여러 구성요소에 여러 취약점이 존재하기 때문에 이 사안을 종합적으로 다뤄보고자 합니다.
물론 가장 중요한 취약점은, 서버 측 서비스의 중요한 RCE 취약점인 CVE-2024-43582 항목입니다. 공격자는 RDP 서버에 연결해 잘못된 패킷을 포함한 스팸 메일을 보낸 다음, 경쟁 조건을 달성하면 됩니다. 그 다음, 이를 RCE에 활용할 수 있습니다.
RDP는 네트워크에서 매우 일반적이며 측면 이동공격에 사용될 수 있으므로, 이에 대한 정책 룰을 만드는 것이 좋습니다. Akamai의 관측에 따르면 네트워크의 89%가 Windows RDP 트래픽을 보유했으며, 73%가 제한 없이 이러한 트래픽을 보유했습니다.
사용자 머신으로 또는 점프 박스와 같은 미리 승인된 서버로만 RDP 접속을 제한하면 이러한 취약점으로 인한 리스크를 크게 줄일 수 있습니다. RDP과 관련된 몇 가지 빠른 결과는 세그멘테이션 블로그 게시물에서 다뤘습니다. 정책이 무엇이든, 패치는 가능한 한 빨리 적용하는 것이 좋습니다.
구성요소 |
CVE 번호 |
CVSS 점수 |
영향 |
|---|---|---|---|
Remote Desktop Protocol Server |
8.1 |
원격 코드 실행 |
|
Windows Remote Desktop Licensing Service |
7.5 |
||
원격 데스크톱 클라이언트 |
8.8 |
||
8.8 |
|||
Windows Remote Desktop Services |
4.8 |
변조 |
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
권한 상승 |
네트워크, 인증됨 |
||
정보 유출 |
네트워크 |
||
원격 코드 실행 |
로컬, 소셜 엔지니어링 또는 피싱 요구 |
||
원격 코드 실행 |
네트워크 |
||
권한 상승 |
로컬 |
||
원격 코드 실행 |
네트워크 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문하여실시간 업데이트를 확인할 수 있습니다.