2023년 9월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
Microsoft 관리자: 어서 준비해야죠! 이번 달에 패치된 65개의 CVE 중 2개만 중대한 결함에 속합니다. 가장 높은 CVE 등급은 8.8입니다. 또한 공공연히 악용되는 것으로 보고된 2가지 취약점도 있습니다. 지난 달과 비교하면, 이정도는 약과지요!
이 보고서에서는 취약점의 심각성과 영향을 받은 애플리케이션 및 서비스 보편성을 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 당일에 Twitter 계정에서 간단한 요약 자료도 확인할 수 있습니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
최신 보고서이며 리서치가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 버그가 패치된 다음 영역을 집중적으로 소개합니다.
실제 악용된 취약점
CVE-2023-36802 - Microsoft Streaming Service Proxy(CVSS 7.8)
Microsoft Streaming Service Proxy는 Office 365 Video의 후속 제품인 Microsoft Stream과 관련이 있습니다. 이 서비스의 이름은 'MSKSSRV'이며 %WinDir%\System32\drivers\MSKSSRV.sys에 구축됩니다. 이 취약점은 공공연히 악용되어 권한 확대 문제로 이어졌습니다.
CVE-2023-36761 - Microsoft Word(CVSS 6.2)
Microsoft Word에서 공공연히 악용된 취약점(CVSS 점수: 6.2)이 수정되었습니다. 이 취약점은 NTLM 인증 강제 공격으로 보입니다. 이 취약점은 미리 보기 창에도 영향을 줍니다.
이번 달 Microsoft Word에서 수정된 취약점 외에도, 또 다른 RCE 취약점(CVE-2023-36762)이 Word 제품에 영향을 주었습니다. 이 취약점은 미리 보기 창에도 영향을 미치지만, Microsoft에 따르면 첫 번째 취약점과 달리 악용될 가능성은 거의 없습니다.
Microsoft Azure Kubernetes Service
AKS(Azure Kubernetes Service)는 사용자가 컨테이너화된 환경을 배포하고 관리할 수 있는 Microsoft의 쿠버네티스 플랫폼입니다.
Microsoft의 공지 사항을 보면 이 취약점에 대한 공격은 외부 소스에서 수행될 수 있음을 알 수 있으며, 이는 클러스터 자체가 아닌 AKS 인프라에 대한 공격일 수 있습니다.
공격의 최종 결과는 쿠버네티스 클러스터에서 공격자에게 관리자 권한을 부여하는 것입니다. 심각한 문제처럼 보이지만 Microsoft는 이 공격이 악용될 가능성이 거의 없다고 말했습니다.
다른 쿠버네티스 관련 뉴스에서, Akamai 연구팀은 CVE-2023-3676에 대한 블로그 게시물 내용을 게시했습니다. 이 취약점을 악용하면 쿠버네티스 클러스터 내의 모든 Windows 엔드포인트에서 SYSTEM 권한으로 원격 코드를 실행할 수 있습니다. .
Windows 테마
Microsoft 테마는 특히 아이콘이나 글꼴을 표시하는 방식을 사용자가 변경할 수 있는 Windows 기능입니다.
테마는 엔드포인트의 모든 사용자가 적용할 수 있으므로 권한이 필요하지 않습니다. 이 수정된 취약점을 악용하려면 공격자는 악성 테마 파일을 적용하도록 사용자를 '속여야' 합니다.
Microsoft의 공지 사항에 따르면, 이 취약점은 엔드포인트에 대한 RCE임을 알 수 있습니다. Akamai 연구팀에서는 테마 파일이 인증되지 않은 소스에서 바이너리를 실행할 수 있는 위치로 다운로드한다고 가정합니다.
인터넷 연결 공유(ICS)
인터넷 연결 공유(ICS) 서비스에서 RCE 취약점이 발견되었습니다.
ICS는 인터넷에 연결된 Windows 호스트가 직접 인터넷에 접속할 수 없는 로컬 네트워크의 다른 호스트에 대한 인터넷 게이트웨이의 역할을 할 수 있도록 하는 서비스입니다.
이 서비스는 동일한 LAN에 있는 호스트만 사용할 수 있도록 설계되었으므로 Microsoft에서는 이 취약점을 동일한 네트워크 세그먼트에 있는 호스트에서만 악용할 수 있다고 설명하고 있습니다.
레거시 Windows 버전을 제외하고 ICS 서비스 'SharedAccess'는 기본적으로 실행되지 않아야 합니다.
Microsoft Exchange Server
이번 달에는 Microsoft Exchange Server에서 5개의 CVE가 발견되었습니다. 이 중 3개는 원격 서버에서 RCE를 허용하고 나머지 2개는 정보 유출 또는 스푸핑 취약점입니다. 모든 취약점에는 유효한 Exchange 사용자의 인증정보가 필요합니다.
관측 결과, 사용 환경의 약 28%가 온프레미스 Microsoft Exchange Server를 사용하는 것으로 나타났습니다.
여기에 나열된 취약점은 Exchange 소프트웨어의 8월 업데이트에서 패치되었습니다. 따라서 이 업데이트를 설치한 클라이언트는 이미 보호되고 있는 상태입니다.
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|
원격 코드 실행 |
인접 |
|
정보 유출 |
인접 |
|
스푸핑 |
인접 |
|
원격 코드 실행 |
인접 |
|
원격 코드 실행 |
인접 |
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
보안 기능 우회 |
Network |
||
스푸핑 |
로컬 |
||
권한 상승 |
로컬 |
||
권한 상승 |
네트워크 |
||
정보 유출 |
네트워크 |
||
서비스 거부 |
|||
보안 기능 우회 |
로컬 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 Twitter 계정을 방문해 실시간 업데이트를 확인할 수 있습니다.
