2023년 3월 17일 금요일

마이크로소프트 Outlook의 권한 상승 취약점(CVE-2023-23397) 제로데이 취약점

 

면책 조항 

이 블로그에는 민감한 정보가 포함되어 있습니다. 그러나 이 정보는 일부 공개적으로 알려져 있기 때문에 모든 정보를 삭제하지 않기로 결정했습니다. 공격의 간단성과 사용자 상호작용이 필요하지 않는 사실 때문에 모든 사용자가 즉시 시스템을 패치하도록 촉구하고 있습니다.

 

Microsoft Outlook

 

2023년 3월 14일, 마이크로소프트는 Microsoft Outlook의 권한 상승 취약점(CVE-2023-23397)에 대한 보안 패치를 공개했습니다. 

특수하게 만들어진 이메일은 Outlook 클라이언트에 의해 검색 및 처리될 때 취약점을 자동으로 유발시킬 수 있습니다. 이러한 이메일은 미리보기 창에서 이메일이 볼 수 있기 전에 악용될 수 있으며, 공격자는 대상 장치가 공격자가 제어하는 서버에 인증하도록 강제하여 자격 증명 해시를 도용할 수 있습니다. 

우크라이나 컴퓨터 긴급 대응 팀(CERT-UA)은 이 취약점을 마이크로소프트에 보고했습니다. 마이크로소프트의 위협 인텔리전스에 따르면, 러시아 기반의 위협 주체는 2022년 4월부터 12월까지 유럽의 여러 정부, 군사, 에너지 및 교통 기관을 대상으로 공격을 수행하는 데 이 취약점을 사용했습니다.

 

MDSec는 이미 이 공격의 POC를 시연했으며 보안 연구원 @KevTheHermit은 악성 이메일 공격 샘플을 발견했습니다. 

딥 인스팩트 위협 연구소는 CERT-UA가 보고한 가능한 공격을 포함하여 이 취약점을 악용하는 추가 샘플을 발견했습니다. 

샘플은 다섯 가지 서로 다른 클러스터로 그룹화 할 수 있습니다. 아래는 공격의 타임라인입니다:

 

CVE-2023-23397을 이용한 공격의 타임라인

 

가능성 있는 행위자

마이크로소프트는 이 공격을 러시아 기반의 위협 행위자에게 귀속했습니다. 루마니아, 폴란드 및 우크라이나를 대상으로 한 공격은 러시아의 이해관계와 일치하고, 요르단과 터키를 대상으로 한 공격은 다른 위협 행위자와 관련이 있을 수 있습니다. 

이 NTLM 수확을 유발하는 공격 벡터는 2020년 이란 위협 행위자에 의해 관찰되었습니다. 또한 러시아와 이란은 사이버 협력 협약을 체결했습니다. 

이전에 요르단 외무부는 이란 위협 행위자의 대상이 되었으며, 이는 취약점이 이란인들과 공유되었을 수 있다는 것을 나타낼 수 있습니다. 

NTLM 수확은 해시 릴레이 공격이나 오프라인 패스워드 크래킹에 사용될 수 있으며, 이는 공격자가 공격 대상 조직에 사전 액세스 권한을 가지고 있거나 다중 인증을 필요로 하지 않는 원격 인증 서비스에 대한 지식을 가지고 있는 것을 나타냅니다.

 

위협 사냥

마이크로소프트는 PowerShell 스크립트를 제공(https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/)하여 취약성을 포함한 잠재적으로 악성적인 메시지를 후행적으로 검색할 수 있습니다. 이 스크립트는 노트, 약속, 작업 세 가지 유형의 메시지를 찾습니다.

 

마이크로소프트의 PowerShell 코드는 세 가지 구체적인 유형의 메시지를 찾습니다.

이는 해당 유형의 메시지 중 어느 하나가 취약점을 유발할 수 있다는 것을 나타낼 수 있습니다. Outlook을 사용하는 경우, 일부 유형에 대해 익숙할 수 있습니다.

 

수동으로 작업 또는 약속을 생성하는 방법

 

MDSec는 자신들의 POC에서 "약속" 메시지를 사용했지만, 실제 공격에서는 "작업" 메시지가 사용되었습니다.

 

악성 이메일에서 ITW(IPM.Task) 속성

 

다음 쿼리를 VirusTotal에서 사용하여 취약점이 포함 된 의심스러운 이메일을 찾았습니다. "content:{490050004d002e005400610073006b00} tag:outlook" 

이메일에 UNC 경로가 포함 된 경우, 이는 취약성을 사용하는 악성 작업을 나타냅니다. 

그러나 우리는 위의 쿼리에서 찾을 수 없는 9월 기간에 폴란드 대상에게 보낸 이메일에서 잔류정보를 발견했습니다.

 

CVE-2023-23397의 특성을 포함하는 9월 파일

 

결론

2022년 4월부터 공격의 증거를 발견했지만, 더 이른 시기에 이를 악용할 가능성이 있습니다.

 

우리가 사용한 것은 공개적으로 제공되는 데이터 뿐이므로, 실제 공격 대상의 범위는 훨씬 더 크다는 것을 고려해야 합니다.

 

마이크로소프트는 공격을 러시아 기반 위협 행위자로 규정했지만, 공개적인 증거는 다른 위협 행위자도 이 취약점을 이용했을 가능성을 보여줍니다.

 

이 공격은 사용자의 상호 작용이 필요하지 않기 때문에, Outlook 응용 프로그램을 사용하는 모든 사용자는 가능한 한 빨리 시스템을 패치하도록 권장합니다.

 

또한, 마이크로소프트에서 제공하는 PowerShell 스크립트를 실행하여 교환 서버에서 후행적으로 악성 이메일을 찾는 것을 제안합니다.

 

 

IOCs

24.142.165[.]2 
101.255.119[.]42 
113.160.234[.]229 
168.205.200[.]55 
181.209.99[.]204 
185.132.17[.]160 
213.32.252[.]221

 

자료출처 : CVE-2023-23397: Exploitations in the Wild – What You Need to Know | Deep Instinct

2023년 2월 6일 월요일

금융 보안 솔루션 업데이트 권고


□ 개요
 o 라온시큐어社, 위즈베라社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표
 o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고

□ 설명
 o TouchEn nxKey 및 CrossEXService에서 발생하는 크로스 사이트 스크립팅 취약점 등
 o Veraport V3에서 발생하는 정보노출 취약점 등

□ 영향을 받는 제품
제품명 영향받는 버전해결버전
TouchEn nxKey  1.0.0.78 이하1.0.0.82
CrossEXService*1.0.2.9 이하1.0.2.10 
Veraport V3v3702~v3863v3864
  * CrossEXService는 TouchEn nxKey제품에 포함되어 설치되는 프로그램으로 TouchEn nxKey 재설치 시 함께 업데이트됨

□ 해결 방안
 o (서비스 운영자) 라온시큐어社, 위즈베라社를 통해 최신버전 교체
 o (서비스 이용자) 취약한 버전의 TouchEn nxKey 및 CrossEXService, Veraport V3가 설치되어 있는 경우 제거 후 최신버전 업데이트
  - [제어판]-[프로그램]-[프로그램 및 기능]에서 TouchEn nxKey 및 CrossEXService, Veraport V3 버전 확인 후 제거 클릭
제어판삭제

  - 이용 중인 금융사이트*에 접속하여 해결된 버전의 프로그램 재설치
  * 금융사이트별 취약한 프로그램 패치 일정은 상이하므로 확인 필요

□ 기타 문의사항
 o 라온시큐어 : 1644-4128, 위즈베라 : 02-2043-6105
 o 한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118

□ 작성 : 취약점분석팀

2023년 1월 26일 목요일

쿠버네티스(Kubernetes) 및 도커 관련 용어 정리

쿠버네티스는 컨테이너화된 워크로드와 서비스를 관리하기 위한 이식성이 있고, 확장가능한 오픈소스 플랫폼이다. 쿠버네티스는 선언적 구성과 자동화를 모두 용이하게 해준다. 쿠버네티스는 크고, 빠르게 성장하는 생태계를 가지고 있다. 쿠버네티스 서비스, 기술 지원 및 도구는 어디서나 쉽게 이용할 수 있다.

쿠버네티스란 명칭은 키잡이(helmsman)나 파일럿을 뜻하는 그리스어에서 유래했다. K8s라는 표기는 "K"와 "s"와 그 사이에 있는 8글자를 나타내는 약식 표기이다. 구글이 2014년에 쿠버네티스 프로젝트를 오픈소스화했다. 쿠버네티스는 프로덕션 워크로드를 대규모로 운영하는 15년 이상의 구글 경험과 커뮤니티의 최고의 아이디어와 적용 사례가 결합되어 있다.




컨테이너 

앱이 구동되는 환경까지 감싸서 어디서든 쉽게 실행할 수 있도록 하는 격리 기술


컨테이터 런타임

컨테이터를 다루는 도구. 즉 컨테이너를 쉽게 내려받거나 공유하고 구동할 수 있도록 해주는 도구. 컨테이너 규격은 표준화되어 있기 때문에 도커가 아닌 CRI-O,  Buildah, Podman, Skopeo 등 다른 컨테이너 런타임들도 도커로 만든 컨테이너를 사용할 수 있다.


도커

컨테이너를 다루는 도구 중 가장 유명한 것. 즉 컨테이너를 다루는 도구(컨테이너 런타임) 중의 하나. 


쿠버네티스

컨테이너 런타임을 통해 컨테이너를 오케스트레이션 하는 도구. 컨테이너를 분산 배치, 상태 관리 및 컨테이너의 구동 환경까지 관리해주는 도구. 컨테이너를 다루기 위해 도커 이외에도 다양한 컨테이너 런타임 소프트웨어를 사용할 수 있다.  특정 프로그램이 독립된 환경에서 실행되는 것처럼 격리시켜주고, CPU, 메모리 및 저장 장치와 같은 자원도 실행한 프로그램이 독립적으로 쓸 수 있도록 해주는 namespace 및 cgroup이라는 기술이 있다. 


오케스트레이션

여러 서버에 걸친 컨테이너 및 사용하는 환경 설정을 관리하는 행위. 여러 서버(노드)에 컨테이너를 분산해서 배치하거나, 문제가 생긴 컨테이너를 교체하거나, 컨테이너가 사용할 비밀번호나 환경 설정을 관리하고 주입해두는 일 등.


가상머신은 완전한 컴퓨터이고 가상머신에 일일이 운영체제를 설치해야 하기 때문에 컨테이너 중심의 배포(Container Deployment)보다는 무거운 편이다. 컨테이너는 운영체제를 공유하는 방식이기 때문에, 어떤 프로그램의 문제가 다른 프로그램을 간섭할 수는 없으나 특정 프로그램의 문제가 운영체제에 문제를 일으킬 경우에는 운영체제에서 구동 중인 전체 컨테이너의 문제가 될 가능성이 있다.


참고자료 : https://kubernetes.io/ko

마이크로소프트 Outlook의 권한 상승 취약점(CVE-2023-23397) 제로데이 취약점

  면책 조항  이 블로그에는 민감한 정보가 포함되어 있습니다. 그러나 이 정보는 일부 공개적으로 알려져 있기 때문에 모든 정보를 삭제하지 않기로 결정했습니다. 공격의 간단성과 사용자 상호작용이 필요하지 않는 사실 때문에 모든 사용자가 즉시 시스템을 ...