한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
Microsoft와 Fortinet, 활발하게 악용되는 버그 수정 • The Register
화요일 패치 Microsoft의 3월 패치 화요일에는 74개 버그에 대한 새로운 수정 사항이 포함되어 있으며, 그 중 2개는 이미 적극적으로 악용되고 있으며 9개는 심각하다고 평가되었습니다. Redmond가 수정 사항을 발표하기 전에 범죄자가 발견한 두 가지부터 시작하겠습니다.
첫 번째: CVSS 등급 10점 만점에 9.8점을 받은 Microsoft Outlook의 권한 상승 버그인 CVE-2023-23397 패치에 우선 순위를 둡니다. 이 구멍에 대한 자세한 내용은 공개되지 않았지만 이미 러시아의 악당들이 유럽의 정부, 에너지, 군사 부문을 상대로 이 구멍을 악용한 것으로 알려졌습니다. Microsoft는 공격 복잡성을 "낮음"으로 표시합니다.
Redmond는 이 문제에 대해 충분히 우려하여 버그에 대한 가이드를 게시하고 문서와 스크립트를 제공하여 귀하의 비즈니스가 이 취약점을 악용하려는 범죄자의 표적이 되었는지 확인합니다. 즉, 심각합니다.
CVE를 사용하면 인증되지 않은 원격 공격자가 손상된 시스템에 맞춤형 이메일을 보내 피해자의 Net-NTLMv2 해시에 액세스한 다음 해시를 사용하여 공격자를 인증할 수 있습니다.
마이크로소프트는 “공격자는 아웃룩 클라이언트가 이메일을 검색하고 처리할 때 자동으로 트리거되는 특수 제작된 이메일을 보내 이 취약점을 악용할 수 있다”고 설명했다. "미리보기 창에서 이메일을 보기 전에 악용될 수 있습니다."
Microsoft는 공격자가 버그를 악용한 후 어떤 종류의 악의적인 행위를 하고 있는지 또는 공격이 얼마나 널리 퍼져 있는지에 대한 세부 정보를 제공하지 않지만 Zero Day Initiative의 Dustin Childs는 "확실히 이 수정 사항을 신속하게 테스트하고 배포해야 합니다."라고 조언합니다.
애초에 누가 보안 결점을 악용했는지에 대해 마이크로소프트는 "유럽의 정부, 교통, 에너지, 군사 분야의 제한된 수의 조직을 대상으로 표적 공격"을 수행하는 러시아의 누군가를 지목했습니다.
이 결함은 우크라이나의 CERT와 Windows 제조업체의 내부 위협 인텔리전스 및 연구 팀에 의해 IT 대기업에 보고되었습니다.
활성 악용 중인 두 번째 버그는 공개적으로 알려져 있으며 Microsoft가 2022년 12월에 수정한 유사한 취약성 CVE-2022-44698과 관련이 있습니다.
이 새로운 취약점인 CVE-2023-24880은 Windows SmartScreen 보안 기능 우회 버그로, 공격자가 Mark-of-the-Web 보안 기능을 우회할 수 있는 악성 파일을 생성할 수 있습니다. 등급은 5.4/10에 불과하지만 이미 몸값을 요구하는 사기꾼들에 의해 악용되고 있습니다. 독자 여러분, CVSS는 숫자일 뿐이며 실제 위험을 나타내지 않는다는 점을 기억하십시오.
Google의 TAG(Threat Analysis Group)는 이 문제를 먼저 발견하고 Magniber 랜섬웨어를 전달하는 데 사용되고 있다고 밝혔습니다. TAG 팀은 현재까지 주로 유럽에서 100,000건 이상의 다운로드를 기록했습니다. 따라서 이 취약점은 5.4 CVSS만 수신했지만 암호화된 시스템 및 강탈을 처리하려는 경우가 아니면 지금 패치하세요.
다른 중요 등급 취약점 중 다음으로 9.8 CVSS 등급 HTTP 프로토콜 스택 원격 코드 실행(RCE) 버그인 CVE-2023-23392를 패치하는 것이 좋습니다. 이는 Windows 11 및 Windows Server 2022에 영향을 미칩니다.
Microsoft에 따르면 인증되지 않은 원격 공격자는 HTTP 프로토콜 스택(http.sys)을 사용하는 대상 서버에 특별히 제작된 패킷을 보내 이 취약점을 악용할 수 있습니다. 그런 다음 범죄자는 사용자 상호 작용 없이 시스템 수준에서 코드를 실행할 수 있습니다.
"이러한 조합으로 인해 이 버그는 적어도 대상 요구 사항을 충족하는 시스템을 통해 웜 가능하게 됩니다."라고 Childs는 말했습니다.
CVE-2023-23415는 또 다른 중요한 9.8등급 RCE 버그로, Childs에 따르면 잠재적으로 웜이 발생할 수도 있습니다. 이는 ICMP(Internet Control Message Protocol)의 결함으로 인해 발생합니다.
마이크로소프트는 “공격자는 헤더에 다른 ICMP 패킷 안에 조각난 IP 패킷이 포함된 낮은 수준의 프로토콜 오류를 대상 시스템으로 보낼 수 있다”고 설명했다. "취약한 코드 경로를 트리거하려면 대상의 애플리케이션이 원시 소켓에 바인딩되어야 합니다."