2024년 9월 패치 화요일(Patch Tuesday)에 대한 Akamai의 관점
이제 학교로 돌아갈 시간입니다! Akamai의 전공은 CVE 분석입니다. Akamai Security Intelligence Group은 이번 달에도 패치가 완료된 흥미로운 취약점을 조사했습니다.
이 블로그 게시물에서는 취약점의 심각성과 애플리케이션 및 서비스가 얼마나 빈번하게 영향을 받는지 평가하고, 수정된 버그에 대한 현실적인 관점을 제공합니다. 패치 화요일(Patch Tuesday)이 발표될 때마다 며칠 내로 보고서를 발표합니다.
지속적으로 발간되는 이 보고서는 리서치가 진행됨에 따라 업데이트됩니다. 계속 관심 가져주시기 바랍니다.
이번 달에는 다음 영역에 대한 버그 패치를 중점적으로 살펴보고 있습니다.
인터넷에서 발견된 취약점
CVE-2024-43491 - Microsoft Windows 업데이트(CVSS 9.8)
3월 보안 업데이트의 빌드 번호 이슈로 인해 선택적 구성요소를 처리하는 Windows 업데이트의 일부에서 버그가 발생했습니다. 이로 인해 Windows 업데이트에서 후속 업데이트가 적용되지 않는다고 판단하고 해당 구성요소를 기본 버전으로 되돌렸습니다.
Microsoft에 따르면, Windows 업데이트의 버그는 공개적으로 악용되지는 않았지만, 영향을 받는 구성요소 중 일부에 공개적으로 악용되는 취약점이 있었기 때문에 분류에 포함되었다고 합니다.
이 CVE를 해결하려면 보안 업데이트 KB5043083 과 서비스 스택 업데이트 KB5043936을 모두 설치해야 합니다.
영향을 받는 구성요소는 다음과 같습니다.
Active Directory Lightweight Directory Services
Administrative Tools
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
LPD Print Service
Microsoft Message Queue (MSMQ) Server Core
MSMQ HTTP Support
MultiPoint Connector
SMB 1.0/CIFS File Sharing Support
Windows Fax and Scan
Windows Media Player
Work Folders Client
XPS Viewer
다음 OSQuery를 사용해 컴퓨터에 이러한 구성요소가 활성화되어 있는지 확인할 수 있습니다.
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 - Windows 설치 프로그램(CVSS 7.8)
Windows 설치 프로그램(msiexec.exe)은 .msi 파일을 처리하고 설치하는 Windows의 구성요소입니다. 이 취약점에 대한 자세한 내용은 많지 않지만, 악용에 성공하면 시스템 권한이 발생한다는 점을 고려할 때 바이너리뿐만 아니라 Windows 설치 프로그램 서비스(msiexec도 가리킴)에 이슈가 있을 수 있습니다.
CVE-2024-38226 - Microsoft Publisher 보안 기능(CVSS 7.3)
Microsoft Publisher 보안 기능은 유해하고 악성적인 Microsoft Office 문서로부터 사용자를 보호하기 위한 것입니다. 공격자는 매크로 형태로 악성 코드를 Office 문서에 삽입할 수 있습니다. Publisher 보안 기능은 매크로의 자동 실행을 방지하고, 그 대신에 사용자에게 매크로 실행을 확인하는 팝업 메시지를 표시합니다.
CVE-2024-38226은 이러한 보호 기능을 우회해 문서를 열면 악성 코드가 자동으로 실행되도록 합니다.
CVE-2024-38217 - Windows Mark of the Web(CVSS 5.4)
두 달 연속으로 또 다른 Mark of the Web 우회 취약점이 발견되었습니다. Mark of the Web은 인터넷에서 다운로드한 잠재적으로 위험한 파일을 표시하는 보안 기능으로, 파일을 열면 SmartScreen 보안 경고가 트리거됩니다. 이 우회는 이 경고를 건너뜁니다. 이 취약점을 악용하려면 공격자가 Windows SmartScreen이 파일을 검사하지 못하게 하고 경고 화면을 우회하는 방식으로 파일을 조작해야 합니다.
SmartScreen 우회 취약점이 공격자에 의해 적극적으로 악용된 것은 지난달이 처음이 아닙니다. 2023년 11월과 2024년 2월 패치에는 활발하게 악용되는 것으로 보고된 우회 취약점에 대한 수정 사항도 포함되어 있습니다.
인터넷에서 악용되는 CVE 외에도 이번 달에 CVSS 점수 6.5를 기록한 CVE-2024-43487이라는 또 다른 CVE가 패치되었습니다.
Microsoft SharePoint는 웹 기반 문서 관리 및 스토리지 시스템으로, 다른 Microsoft Office 제품과 통합되어 있습니다. 이번 달에는 CVSS 점수가 8.8(CVE-2024-38018)과 7.2(CVE-2024-43464)인 두 가지의 중요한 원격 코드 실행(RCE) 취약점을 포함한 5개의 CVE가 발견되었습니다. 나머지는 두 개의 RCE 취약점과 서비스 거부(DoS) CVE입니다.
CVE-2024-38018 은 공격자가 최소한 SiteMember 권한이 있는 계정으로 SharePoint 서버에 인증해야 합니다. 공격자가 코드 실행을 트리거하기 위해 수행해야 하는 작업에 대한 자세한 내용은 없습니다.
CVE-2024-43464, CVE-2024-38227, CVE-2024-38228 은 SiteOwner 권한이 필요합니다. 또한, 위조된 파일을 업로드하고 API 요청을 통해 접속해야 합니다. 이렇게 하면 파일 매개변수의 디시리얼라이제이션이 트리거되고 SharePoint 서버 프로세스에 코드 인젝션이 발생합니다.
관찰 결과, 약 30%의 환경에서 SharePoint 서버가 설치된 머신이 한 대 이상 존재 하는 것으로 나타났습니다.
SharePoint 서버는 보통 문서 공유에 사용되기 때문에, 일반 작업에 피해를 주지 않고 사용자 접속을 세그멘테이션하거나 제한하기란 쉽지 않을 수 있습니다. 따라서 가능한 한 빨리 시스템을 패치하는 것이 좋습니다.
그러나 RCE CVE는 사용자 인증을 요구하므로 사용자 접속을 강화하거나 의심스러운 사용자 활동 또는 로그인에 대한 알림 민감도를 높여 일부 리스크를 방어할 수 있을 것입니다.
Windows NAT(Network Address Translation)
NAT(Network Address Translation) 는 단일 IP 주소 뒤에 여러 IP 주소를 매핑하는 네트워킹의 한 형태입니다. 주요 용도는 전체 내부 네트워크 IP 범위를 단일 외부 IP 뒤에 배치해 네트워크를 분리하는 것입니다.
이번 달에 CVE-2024-38119 는 Windows NAT의 중요한 RCE 취약점으로, 성공적으로 악용하려면 경쟁 조건에서 승리해야 합니다. Windows의 특정 구성요소가 NAT를 담당하는지는 불분명하며, NAT는 일반적인 네트워크 스택보다 먼저 발생하기 때문에 세그멘테이션으로는 방어할 수 없습니다. 따라서 패치를 유일한 방어 수단으로 권장합니다.
Microsoft SQL 서버
이번 달에는 MSSQL(Microsoft SQL Server)에 13개의 CVE가 있습니다. 이 중 9개는 MSSQL(사전 학습된 모델을 기반으로 데이터값을 예측하는 머신 러닝 기능)의 Native Scoring 기능에 대한 것이며, 이 중 6개는 RCE입니다. 그리고 네이티브 MSSQL 서버에 4개의 CVE가 더 있습니다.
SQL 서버에는 일반적으로 민감한 정보가 있으므로 데이터 유출 인시던트를 방지하기 위해 정보를 세그멘테이션하고 접속 제어 제한 사항을 적용해야 합니다. 이러한 정책이 마련되어 있지 않다면 지금이 바로 추가할 수 있는 좋은 기회입니다. (MSSQL 서비스를 찾거나 포트 1433 및 1434를 통한 연결을 찾아서) 기존 MSSQL 서버를 매핑합니다.
기존 서버를 매핑한 후 기존 트래픽과 접속이 필요한 기타 세그먼트(예: 모든 권한을 가진 IT, 재무에 대한 권한을 가진 재무, 기타)를 기반으로 세그멘테이션 정책을 생성합니다. 이것은 누가 악당인지, 접촉해서는 안 되는 데이터베이스에 누가 접속하는지 확인할 좋은 기회이기도 합니다.
Akamai의 관측에 따르면, 네트워크의 75%가 MSSQL 서버를 보유하고 있습니다.
서비스 |
CVE 번호 |
영향 |
|---|---|---|
Microsoft SQL Server Native Scoring |
원격 코드 실행 |
|
정보 유출 |
||
Microsoft SQL 서버 |
||
권한 상승 |
||
이전에 다루었던 서비스
이번 달 패치 화요일(Patch Tuesday)의 많은 CVE는 과거에 이미 다루었던 시스템에 대한 것입니다. 이런 서비스에 대한 분석 또는 일반적인 권장 사항에 관심이 있는 경우, 이전 패치 화요일(Patch Tuesday) 블로그 게시물의 내용을 살펴보시기 바랍니다.
서비스 |
CVE 번호 |
영향 |
필요한 접속 권한 |
|---|---|---|---|
서비스 거부 |
네트워크 |
||
권한 상승 |
네트워크 |
||
원격 코드 실행 |
네트워크, NetNAT 서비스가 활성화된 네트워크 |
||
스푸핑 |
네트워크 |
||
원격 코드 실행 |
네트워크, 모든 인증된 사용자 |
||
정보 유출 |
네트워크 |
||
서비스 거부 |
|||
스푸핑 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다. 또한 X(기존의 Twitter)를 방문해 실시간 업데이트를 확인할 수 있습니다.