8월 패치 화요일에 대한 Akamai의 관점
Akamai 보안 연구팀 작성
Microsoft의 8월 패치 화요일(Patch Tuesday)이 발표됨에 따라 Akamai 보안 연구팀은 패치된 흥미로운 취약점을 조사했습니다. 이 보고서에서는 취약점의 심각성과 애플리케이션과 서비스에 대한 일반적인 영향을 평가하고 수정된 버그에 대한 관점을 제공합니다. 패치 화요일이 발표될 때마다 수요일에 보고서를 발표합니다.
최신 보고서이며 연구가 진행됨에 따라 업데이트합니다. 계속 관심 가져주시기 바랍니다.
이 보고서에서는 버그가 패치된 4개 부문을 집중적으로 소개합니다.
Windows PPP(Point-to-Point Protocol)
Windows SSTP(Security Socket Tunneling Protocol)
NFS(Network File System)
AD CS(Active Directory Certificate Services)
Microsoft Exchange Server
영향을 받은 각 서비스에 대해 패치를 적용할 수 없을 때 Microsoft의 권장 사항을 인용하거나 자체 경험에 바탕한 우회 방법을 제시하여 모니터링 및 방어 방법을 추천할 것입니다. 방어는 실제 패치와 같은 수준의 효과는 없기 때문에 가능하면 시스템에 최신 패치를 적용해야 합니다.
원격 접속 서버 취약점
패치 화요일은 RAS(Remote Access Server)의 두 가지 핵심 프로토콜인 Point-to-Point Protocol와 Secure Socket Tunneling Protocol에 심각한 취약점이 있습니다.
원격 접속은 Windows Server 역할로서 원격 클라이언트는 이를 통해 VPN과 비슷하게 LAN에 연결할 수 있습니다. 서버 역할은 능동적으로 추가해야 합니다.
Windows Point-to-Point Protocol
PPP(Point-to-Point Protocol)는 RAS에 포함되어 원격 연결을 위한 프레이밍 및 인증 기능을 제공합니다.
PPP에서 원격 코드 실행 취약점 2개(CVSS 점수 9.8)와 서비스 거부 취약점 2개(CVSS 점수 각각 7.5, 5.9)가 발견됐습니다. Microsoft의 권고에 따르면 비인증 원격 공격자는 조작된 연결 요청을 보내 RAS 서버의 코드 실행을 확보할 수 있습니다.
4개 취약점의 악용 가능성은 작습니다. 즉 취약점을 트리거하거나 활용하는 것은 어렵거나 적어도 쉽지는 않습니다.
PPP의 영향력 모니터링한 환경에서 쿼리한 Windows Server 중 40%가 Point-to-Point Tunneling Protocol의 표준 포트인 포트 1723을 통해 연결을 받았습니다.
버그 위치
CVE 분석
| CVE 번호 | 영향 | 필요한 접속 | 패치 이외의 방어 |
|---|---|---|---|
| CVE-2022-35744 | 원격 코드 실행 | 네트워크 | 포트 1723 비활성화 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | 서비스 거부 | - | |
| CVE-2022-35747 |
Windows Secure Socket Tunneling Protocol
Microsoft Developer Network에 따르면 Windows SSTP(Secure Socket Tunneling Protocol)는 HTTPS에서 PPP 트래픽을 캡슐화하기 위한 메커니즘입니다. 사용자는 이 프로토콜을 통해 HTTPS를 사용하여 비공개 네트워크에 접속할 수 있습니다.
CVSS 점수 8.1의 원격 코드 실행 취약점 6개가 패치됐습니다. 역시 CVSS 점수 8.1의 원격 코드 실행 버그 2개도 추가로 패치됐으며 이들은 SstpSvc 서비스와 연계된 것으로 보입니다. CVSS 점수 5.3의 서비스 거부 취약점 1개가 패치됐습니다.
버그 위치 SSTP를 지원하는 Windows 서비스는 SstpSvc이며 sstpsvc.dll을 실행하게 됩니다.
일반 권장 사항
CVE-2022-34701을 제외하고 모든 취약점은 경쟁 상태와 관련이 있습니다. 경쟁 상태가 포함된 공격은 일반적으로 짧은 시간 내에 다수의 시도가 필요하기 때문에 네트워크 트래픽이 증가할 수 있습니다. 따라서 트래픽 피크 속도와 스파이크를 모니터링하면 공격 시도를 감지할 수 있습니다.
CVE 분석
| CVE 번호 | 영향 | 필요한 접속 | 패치 이외의 방어 |
|---|---|---|---|
| CVE-2022-35766 | 비인증 공격자가 SstpSvc 서비스를 통해 원격 코드 실행을 달성할 수 있습니다 | 네트워크 | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | 비인증 공격자가 SstpSvc 서비스를 통해 원격 코드 실행을 달성할 수 있습니다 | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | 서비스 거부 |
Network File System
NFS(Network File System)는 네트워크를 통한 원격 파일 접속을 가능하게 하기 위해 Sun Microsystems가 처음 개발한 네트워크 프로토콜입니다. NFS 구현은 Microsoft Windows에 있으며 NFS 역할을 서버에 추가하여 서버를 NFS 서버로 전환할 수 있습니다.
범위 분석
NFS 기능을 사용하려면 먼저 Window 서버와 클라이언트에 추가해야 합니다. NFS는 Windows Server의 "File and Storage Services" 서버 역할에 포함되어 있습니다.
NFS는 일반적으로 포트 111(Sun RPC의 EpMapper 포트. NFS의 초기 버전은 Sun RPC에서 구현됨)과 포트 2049를 사용합니다. 다양한 데이터 센터를 살펴본 결과 0.1%만이 NFSv4 서버이며 약 절반만이 Windows를 실행하고 있습니다.
또한 최신 보안 업데이트를 통해 이번 달에 CVE가 유입된 것으로 여겨집니다.Microsoft의 방어(NFS v4.1 비활성화)는 완전히 패치된 서버에서만 실행해야 한다고 경고하고 있으며 이는 완전히 패치되지 않은 서버가 안전할 수도 있다는 것을 암시합니다.
일반 권장 사항
일반적으로 NFS 서버를 가장 안전한 버전인 NFS v4.1을 사용하도록 업그레이드할 것을 권장합니다. 패치 화요일의 NFS와 관련된 취약점 대부분은 이전 버전의 프로토콜에 관한 것입니다. 하지만 이번 취약점은 NFS v4에만 영향을 주므로 업그레이드를 추천하지 않습니다.
대신 NFS 서버 세그먼테이션을 추천합니다. NFS 클라이언트를 소규모 서버 및 워크스테이션 그룹으로 제한(링펜스)하고 NFS 서버의 아웃바운드 트래픽을 제한할 수 있는지 확인해야 합니다. NFS는 서버이기 때문에 연결을 시작할 이유가 거의 없어야 합니다. 세그먼테이션으로 악용 성공 시의 영향을 제한할 수 있습니다.
CVE 분석
CVE 번호 |
영향 |
필요한 접속 |
패치 이외의 방어 |
공격자는 NFS v4에 대한 비인증 호출을 사용하여 원격 코드 실행을 확보할 수 있습니다 |
네트워크 |
- NFSv4 비활성화 - 보안 업데이트 롤백(이전 CVE 대부분이 이전 버전과 관련되어 있기 때문에 NFSv4는 유지) |
Active Directory Certificate Services
AD DS(Active Directory Domain Services)는 Active Directory의 핵심 구성 요소입니다. 이 역할을 실행하는 서버는 Windows 도메인의 도메인 컨트롤러입니다.
범위 분석
모든 Windows 도메인 네트워크에는 AD DS를 실행하는 Windows Server, 즉 도메인 컨트롤러가 최소 하나는 있습니다.
이번 달의 취약점은 디폴트로는 사용할 수 없는 이 AD CS(Active Directory Certificate Services)에 있기 때문에 추가 역할을 설치해야 합니다. 고객 환경의 Windows Server를 모니터링한 결과 네트워크의 66%에 AD CS 역할을 가진 서버가 있었습니다.
AD CS는 공격자가 악용하는 것으로 잘 알려져 있는데 가장 최근에 발생한 악명 높은 예시가 바로 PetitPotam입니다. 여기서 AD CS는 공격 플로우에서 NTLM 릴레이 표적으로 사용됐습니다(SpecterOps의 우수한 연구 사용).
일반 권장 사항
AD CS 서비스는 도메인 아키텍처에서 중요한 역할을 하는 네트워크에서 선택된 소수 또는 단일 서버에만 설치돼야 하므로 해당 서버를 최대한 빨리 패치해야 합니다.
이것이 가능하지 않다면 추가 Windows Event Log(다른 비슷한 CVE 이후)를 소개한 5월 패치에 따라 비정상 활동을 모니터링해야 합니다. 자세한 정보는 KB5014754를 확인하세요.
CVE 분석
CVE 번호 |
영향 |
필요한 접속 |
패치 이외의 방어 |
공격자는 특정 사용자 속성을 조작하여 AD CS에 대한 요청 후 SYSTEM 권한을 확보할 수 있습니다 |
네트워크 |
AD CS 비활성화 |
Microsoft Exchange Server
Microsoft Exchange Server는 Microsoft가 개발한 메일 서버입니다. 이번 달에는 6개의 CVE가 포함됐습니다. 즉 권한 상승 취약점 3개와 중요 정보 공개 취약점 3개가 패치됐습니다. 이들 취약점은 Office 365 인스턴스가 아니라 Exchange 온프레미스 설치에 영향을 줍니다.
범위 분석
Office 365 도입으로 SaaS 솔루션을 선택하고 온프레미스 설치를 폐기하는 기업이 늘고 있습니다. 네트워크 모니터링 결과 기업 중 40%만이 온프레미스 Exchange 서버를 보유하고 있었습니다.
일반 권장 사항
정보 공개 취약점에 따르면 공격자가 표적 메일을 읽을 수 있는 것이 분명하지만 Microsoft는 권한 상승 취약점의 영향은 명확히 밝히지 않았습니다. 공격자가 다른 사용자의 이름을 도용하여 이메일을 보낼 수 있는 것으로 추정됩니다. 이 취약점은 "악용 가능성 높음"으로 분류되기 때문에 Exchange 서버를 패치하고 Extended Protection을 활성화할 것을 강력히 추천합니다. 자세한 정보는 Microsoft의 Exchange Blog를 참조하세요.
또한 일부 취약점 아래에서 Exchange 서버는 공격자가 제어하는 악성 서버에 접속해야 합니다. 온프레미스 Exchange 서버의 필수 이웃(외부 메일 서버, 데이터베이스 등)을 매핑하고 이에 대한 링펜스 규칙을 만드는 것도 방어 효과가 있을 것입니다.
CVE 분석
CVE 번호 |
영향 |
필요한 접속 |
패치 이외의 방어 |
공격자는 공격 성공 시 이메일을 읽고 보낼 수 있습니다 |
네트워크 |
- Exchange 서버의 아웃바운드 연결에 대한 링펜스 |
|
네트워크, 악성 서버에 대한 접속 |
|||
인증된 공격자는 이메일을 읽고 보낼 수 있습니다 |
네트워크, 인증 |
||
표적 이메일 읽기 |
네트워크 |
||
네트워크, 악성 서버에 대한 접속 |
본 요약에서는 가용한 정보를 바탕으로 현재 이해와 권장 사항을 대략 알아봤습니다. Akamai의 검토는 지속적으로 수행되므로 이곳의 모든 정보는 변경될 수 있습니다.
