9월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Microsoft의 9월 패치 화요일이 발표됨에 따라 Akamai Security Intelligence Group은 패치가 완료된 흥미로운 취약점을 조사했습니다. 이 보고서에서는 취약점의 심각성과 애플리케이션과 서비스에 대한 일반적인 영향을 평가하고 수정된 버그에 대한 관점을 제공합니다. 패치 화요일이 발표될 때마다 목요일에 보고서를 발표합니다.
최신 보고서이며 연구가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이 보고서에서는 버그가 패치된 다음 부문을 집중적으로 소개합니다.
영향을 받은 각 서비스에 대해 패치를 적용할 수 없을 때 Microsoft의 권장 사항을 인용하거나 자체 경험에 바탕한 우회 방법을 제시하여 모니터링 및 방어 방법을 추천할 것입니다. 방어는 실제 패치와 같은 수준의 효과는 없기 때문에 가능하면 시스템에 최신 패치를 적용해야 합니다.
IPSec 취약점
IPSec은 보안 네트워크 프로토콜 제품군 그룹으로, IP 네트워크를 통해 컴퓨터 사이의 데이터 패킷을 암호화하고 인증합니다. IPSec은 주로 VPN에서 사용됩니다.
이번 패치 화요일(Patch Tuesday)에서는 IPSec의 두 가지 핵심 프로토콜인 IKEv1과 IPv6에 존재하는 세 가지 중요 원격 코드 실행 취약점을 소개했습니다.
이 취약점은 수신 패킷의 처리와 구문 분석을 담당하는 코드 흐름에 존재합니다. 이로 인해, 그리고 인증되지 않은 공격자가 원격에서 트리거할 수 있기 때문에 모두 중요 랭킹과 CVSS 9.8점을 받았습니다.
Windows Internet Key Exchange 프로토콜 확장 프로그램
Internet Key Exchange(IKE)는 암호화 키 협상에 사용되는 일반적인 프로토콜 중 하나입니다.
범위
IKEv1을 사용하는 IPSec 지원 시스템은 취약합니다. Windows Servers는 IKEv1과 IKEv2를 모두 사용하므로 취약합니다.
일반 권장 사항
조직에서는 IPSec을 사용하지 않는다면 비활성화하는 것이 좋습니다.
CVE
IKE 취약점은 Kunlun Lab의 Yuki Chen이 발견했습니다. 이 취약점은 IkeQueueRecvRequest, IkeDecryptOakNDPacket및 IkeDecryptOakPacket함수의 정수 오버플로우 또는 언더플로우로 인해 발생하는 것으로 보이며, 그 결과 OOB(Out-of-Bounds) 쓰기가 발생할 수 있습니다. 이 취약점의 경우 공격자가 공격이 더 타당해지도록 여러 요청을 보낼 필요가 없습니다.
CVE 번호 |
영향 |
필요한 접속 |
원격 코드 실행 |
네트워크 |
|
IPv6
범위
IPSec 및 IPv6 지원 시스템은 이 버그에 취약합니다.
일반 권장 사항
조직에서는 IPSec을 사용하지 않는다면 비활성화하는 것이 좋습니다.
CVE
CVE 번호 |
영향 |
필요한 접속 |
원격 코드 실행 |
네트워크 |
Microsoft Dynamics CRM 취약점
Microsoft의 Dynamics CRM은 Microsoft Dynamics 365의 일부입니다. 이달의 패치에서 다루는 중요 취약점은 보통 클라우드 기반 서비스로 제공되며, 애플리케이션의 온프레미스 설치와 관련되어 있습니다. CVSS 점수가 8.8점인 모든 취약점은 중요로 간주되며, 발견자는 Fabian Schmidt였습니다.
범위
Microsoft Dynamics CRM은 배포되어 있어야 사용 또는 접속할 수 있으며, 기본적으로 제공되는 사항은 아닙니다. 이 포트 리스트 는 상당히 일반적이기 때문에 존재를 찾는 좋은 방법 중 하나로 레지스트리 키 "HKLM\SOFTWARE\Microsoft\MSCRM"을 찾으면 됩니다. 모니터링되는 환경의 존재하지 않는 지점에서는 이 제품이 드물었습니다.
일반 권장 사항
패칭이 우선적으로 즉시 처리되어야 하는 사항이긴 하지만 바로 처리될 수 없는 경우에는, 세그멘테이션을 사용해 공격 기법을 줄일 수 있을 것이라 생각합니다. 세그멘테이션은 다음과 같이 두 가지 수준에서 이루어질 수 있습니다.
링펜싱 — CRM 서버에 접속할 수 있는 워크스테이션의 범위를 시스템에 접속해야 하는 직원(보통 IT 및 CS 인력)으로 한정할 수 있습니다.
또한 CRM 서버가 CRM 이외에는 아무 것도 실행하지 않는다면 Microsoft의 문서에 따라 네트워크 커뮤니케이션을 CRM에 필요한 포트 목록으로 제한할 수도 있습니다를 참조하세요.
사용자 기반 세그멘테이션 — 공격에는 인증된 사용자가 필요하므로 역시 훌륭한 방어 기법입니다.
CVE
CVE 번호 |
영향 |
필요한 접속 |
명령어 실행으로 이어지는 SQLi |
인증된 사용자의 네트워크 접속 |
|
OLE DB 및 ODBC 취약점
OLE DB와 ODBC는 모두 데이터 사용자와 데이터 소스 간의 연결을 일반화하도록 만들어진 API 사양입니다. ODBC는 더 오래되고 절차를 따르는 반면, OLE DB는 그보다는 새롭고 COM(Component Object Model)을 사용해 구현하며 비관계성 데이터베이스도 지원합니다.
연구원인 Haifei Li는 열한 가지 원격 코드 실행 취약점을 발견했는데, 모두 CVSS 8.8 점을 받으며 중요로 표시되었으며, Li는 Windows의 DB 연결에 사용되는 메커니즘을 공격하는 데 많은 노력을 기울였을 것입니다. 취약점 중 여섯 개는 SQL 서버의 OLE DB 공급업체에 있었고, 다른 다섯 개는 ODBC 드라이버에 있습니다.
OLE DB 취약점
여섯 가지 OLE DB 취약점의 공격 흐름 설명은 FAQ 섹션의 설명과 완전히 동일합니다. 설명에 따르면 여기에는 오류가 있으며(Microsoft Security Response Center에 알린 내용) 악성 패킷을 보내는 대신 받는 공격자 제어 서버에 관해 언급하고 있습니다. 다음은 수정된 텍스트입니다.
공격자는 인증된 사용자가 OLEDB를 통해 악성 SQL 서버에 연결하도록 속여서 취약점을 공격할 수 있으며, 그 결과 서버에서 악성 네트워킹 패킷을 전송할 수 있습니다. 이로 인해 공격자가 클라이언트에서 원격으로 코드를 실행할 수 있게 됩니다.
공격자는 피해자 컴퓨터에서 특정 트리거를 실행해야 하며, 그런 다음 공격자 제어 원격 서버에 연결하려고 시도합니다. 후자가 악성 패킷을 전송하면 클라이언트 시스템에서 코드가 실행됩니다.
범위
OLE DB 사양의 구현을 담당하는 라이브러리는 모든 Windows 시스템에서 사용할 수 있습니다. 따라서 공격을 위해서는 컴퓨터에 애플리케이션, 서비스 또는 서버 역할을 설치해 취약하게 만들 필요가 없습니다.
일반 권장 사항
OLE DB 취약점 공격은 세그멘테이션을 사용해 방지할 수 있습니다. 조직에서 SQL 서버 허용 목록을 사용하면 외부의 알려지지 않은 서버에는 연결하지 않으므로, 위에서 설명한 공격 체인을 방지할 수 있습니다.
CVE
CVE 번호 |
영향 |
필요한 접속 |
OLE DB 공급업체의 원격 코드 실행 |
네트워크, 하지만 인증된 사용자 인터랙션이 필요함 |
|
ODBC 취약점
다섯 가지 취약점의 공격 시나리오 모두에는 인증된 사용자가 Microsoft 365 제품군에 포함된 데이터베이스 관리 시스템(DBMS)인 Microsoft Access 에서 악성 파일을 열도록 속이는 과정이 포함됩니다. 악성 파일은 ODBC를 통해 열어야 하며, 이는 결국 ODBC 드라이버에서 취약한 코드를 트리거해 동일한 권한 수준을 갖는 피해자 컴퓨터에서 Access 프로세스로 임의의 코드를 실행합니다.
악성 파일은 MDB 형식이어야 하며, 이는 데이터베이스 구조와 항목, (선택적으로) 데이터 입력 양식, 쿼리, 저장된 프로시저 등을 지정합니다. MDB 파일 형식은 상대적으로 오래되었으며, Access 2007부터 사용된 .accdb 파일은 추가적인 기능을 제공합니다.
범위
Chainalysis에 따르면135,000개 조직에서 Microsoft Access 애플리케이션을 DBMS 솔루션으로 사용하고 있다고 합니다. 이들이 모니터링하는 환경 중 데이터 센터의 27%가 Microsoft Access 애플리케이션을 네트워크 머신 일부에 설치한 것으로 나타났습니다.
CVE
CVE 번호 |
영향 |
필요한 접속 |
ODBC 드라이버의 원격 코드 실행 |
네트워크, 하지만 인증된 사용자 인터랙션이 필요함 |
|
CVE
CVE 번호 |
영향 |
필요한 접속 |
원격 코드 실행 |
관리 목록 권한이 있는 인증된 사용자의 네트워크 접속 |
|
페이지 생성 권한이 있는 인증된 사용자의 네트워크 접속 |
Remote Procedure Call 런타임 취약점
RPC(Remote Procedure Call)는 효율적인 프로세스 간 통신에 사용됩니다. 표준 클라이언트 서버 모델에 기반하며 현재 Windows에서 가장 널리 사용되는 프로토콜 중 하나입니다. Microsoft는 RPC를 다양한 Windows 서비스의 일환으로 사용하고 있습니다.
취약점을 통해 공격자는 portmap.sys의 기능에 접속할 수 있으며, 이는 Open Network Computing RPC 프로그램을 네트워크 주소에 매핑하는 서비스입니다.
범위
취약점은 Windows 서버에만 존재합니다.
CVE
CVE 번호 |
영향 |
필요한 접속 |
원격 코드 실행 |
네트워크 |
Windows Kerberos 취약점
Kerberos는 Windows 도메인 아키텍처의 백본 역할을 합니다. 기본 인증 메커니즘으로, New Technology LAN Manager를 대체했습니다. 이번에는 두 가지 취약점이 있으며, 둘 다 James Forshaw가 발견했습니다.. 두 취약점 모두 암호화 다운그레이드를 중심으로 하며 CVSS 점수는 8.1점입니다. 더 약한 RC4-md4 암호화를 사용하도록 피해자와 도메인 컨트롤러 간 연결을 수정하면 공격자는 피해자의 Kerberos 세션 키를 뚫고 권한을 상승시킬 수 있습니다.
범위
Kerberos는 모든 Windows 도메인 아키텍처의 일부입니다.
일반 권장 사항
Microsoft는 Kerberos Armoring이 두 가지 취약점으로부터 보호할 수 있다고 권장합니다. 자세한 내용은 이 페이지 확인하세요. 취약점을 찾은 James Forshaw는 Kerberos Armoring을 사용하는 것만으로는 충분하지 않으며 KDC가 이 요구사항을 단순히 지지하는 것이 아니라 이행해야 한다고 말합니다.
또한 취약점이 작용하기 위한 요구사항 중 하나는 사칭 공격(Forshaw는 반드시 CVE-2022-33679에만 해당하는 것은 아니라고 언급함)이므로 공격자는 피해자와 도메인 컨트롤러에 존재합니다. 사칭 공격은 흔한 공격 기법이며, 상당히 “눈에 띌 수 있습니다”. 따라서 IDS 또는 IPS 솔루션이나 활성 위협 헌팅을 사용하면 일부 리스크를 방어하는 데 도움이 될 수 있습니다.
CVE
CVE 번호 |
영향 |
필요한 접속 |
패치 이외의 방어 |
SYSTEM으로의 권한 상승 |
네트워크, 피해자와 도메인 컨트롤러 사이의 사칭 |
||
네트워크 |
RC4 키 없이 Kerberos 사전 인증 활성화 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다.