로그인이 필요합니다.

로그인정보입력
소셜 계정으로 로그인
닫기

로그인폼

커뮤니티COMMUNITY

커뮤니티 > 컴퓨터

MS 아웃룩 제로데이 취약점 패치 발표... 메일 읽지 않아도 탈취 가능

lsmin0420
BEST1
출석 : 300일
Exp. 59%
[등록된 소개글이 없습니다]

MS 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치

러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정

[보안뉴스 원병철 기자] 러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정되는 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치가 발표됐다. 마이크로소프트는 보안을 유지하려면 모든 고객이 ‘윈도우용 마이크로소프트 아웃룩’을 업데이트하라고 권고했다.

[이미지=utoimage]


이번에 공개된 제로데이 취약점은 모든 버전의 아웃룩이며, 다행이 윈도우를 제외한 다른 운영체제, 즉 안드로이드, iOS, Mac, 웹용 아웃룩 및 기타 M365 서비스와 같은 다른 버전의 아웃룩은 영향을 받지 않는다.

CVE-2023-23397, 사용자 상호 작용이 필요 없는 아웃룩 제로데이 취약점으로 개념증명 탈취에 이미 널리 활용
마이크로소프트에 따르면, CVR-2023-2397은 공격자가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로와 함께 MAPI 속성이 포함된 메시지를 보낼 때 트리거되는 아웃룩의 치명적인 EoP(Elevation of Privilege, 권한상승) 취약점이다. 게다가 사용자의 상호작용, 즉 메일을 열지 않아도 발생하기 때문에 더 위험하다. 공격자는 원격 SMB 서버에 대한 연결을 사용해 사용자의 NTLM 협상 메시지를 보내며, 이후 공격자는 NTLM 인증을 지원하는 다른 시스템에 대한 인증을 위해 이를 릴레이 할 수 있다.

특히, CVE-2023-23397은 사용자 상호 작용이 필요 없는 아웃룩 제로데이 취약점으로 개념증명(Proof-of-concepts; POC) 탈취에 이미 널리 활용됐으며, 보안기업 맨디언트의 위협 인텔리전스는 공격에 필요한 권한이나 사용자 상호작용이 없는 권한 상승 가능성으로 인해 이를 고위험 취약점으로 간주했다. 탈취에 성공하면 공격자는 여러 서비스에서 인증과 시스템 침투가 가능하다. 해당 제로데이 취약점은 스파이 활동이나 금전적 목적의 공격자에게 즉시 활용될 가능성이 높은 상황이다.

맨디언트는 이번 제로데이 취약점이 지난 1년 동안 조직과 중요 인프라를 대상으로 활용됐다고 추정했다. 이러한 타깃팅으로 해당 공격 그룹은 우크라이나 안팎으로 파괴적인 공격뿐만 아니라 전략적 정보 수집을 진행할 수 있다고 강조했다.

러시아 GRU 연계 그룹인 ‘APT28’이 배후인 제로데이 취약점 초기 탈취 공격을 추적하기 위해 해당 그룹을 UNC4697으로 분류했으며, APT28는 우크라이나 내외에서 정기적으로 사이버 스파이와 정보작전(Information Operation: IO)을 수행하며 파괴적인 공격을 담당하는 러시아 해킹 그룹 샌드웜(Sandworm)과 자주 협력해왔다고 소개했다. 아울러 이 취약점은 2022년 4월부터 폴란드, 우크라이나, 루마니아, 튀르키예에 위치한 정부, 물류, 석유/가스, 방위 및 운송 산업을 타깃으로 사용됐다고 덧붙였다.

CVE-2023-23397 취약점 공격 발생순서
- 공격자가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로를 포함하는 확장 MAPI 속성을 사용해 악의적인 전자 메일을 특수하게 조작함
- 전자 메일이 수신되면 SMB 공유가 연결이 열리고 사용자의 NTLM 협상 메시지가 전송됨. 이를 통해 공격자는 사용자의 Net-NTLMv2 해시를 검색함
- 공격자는 NTLM 해시를 전달해 피해 조직 환경의 다른 시스템에 인증하는, 일반적으로 ‘PtH(Pass the Hash)’라고 부르는 공격을 착수함
- 피해 계정이 전자 메일을 확인하기 전 아웃룩이 이메일을 수신하고 처리할 때 탈취가 발생할 수 있도록 SMB 공유가 연결됨


맨디언트는 범죄자 및 사이버 스파이 공격자를 포함한 여러 국가 차원 및 금전적 동기의 공격자가 CVE-2023-23397 취약점을 광범위하고 신속하게 악용할 것으로 예상했으며, 단기적으로 이러한 공격자들은 아직 패치가 진행되지 않은 시스템에서 공격의 발판을 마련하기 위해 빠르게 움직일 것으로 추측된다고 강조했다.

전략적 목적을 위한 정보 수집 외에도, 맨디언트는 이 제로데이 취약점이 잠재적인 파괴적 사이버 공격을 위해 우크라이나 내외부의 중요한 인프라를 목표로 하는 데 사용됐다고 추측했다. 해당 제로데이 취약점은 클라우드 기반 전자 메일 솔루션에는 영향을 주지 않는다.

이번 마이크로소프트 제로데이 취약점 발표와 관련해 구글 클라우드 맨디언트 위협 인텔리전스 분석 총괄 존 헐트퀴스트(John Hultquist)는 “이는 공격적이고 파괴적인 사이버 공격 대상이 우크라이나에 국한되지 않는다는 증거이며 보안팀이 모든 것을 탐지할 수는 없다는 사실을 상기시킨다. 공격에 대한 준비를 포착한다고 해서 공격이 임박했다는 것을 암시하지는 않으며 지정학적 상황으로 인해 시간차가 있을 수 있다. 이는 또한 보안팀이 분쟁에서 모든 진행 상황을 파악할 수 없다는 것을 나타낸다. 스파이로 활동하는 이 공격자들은 보안팀을 성공적으로 피해 공격을 진행한 전력이 다수 있기 때문이다. 이번 공격은 선전 이벤트가 될 것이다. 해당 제로데이 취약점은 단기적으로 큰 수익을 챙기려는 국가 차원의 공격자와 범죄자 모두에게 훌륭한 툴이다. 패치되지 않은 시스템을 찾는 공격자와 이를 막으려는 조직의 경주는 이미 시작됐다”고 설명했다.

한편, 한국인터넷진흥원(KISA)도 보안공지를 통해 CVE-2023-23397의 보안 업데이트를 권고했다. KISA는 CVE-2023-23397이 마이크로소프트 아웃룩에서 SMB(TCP 445) 공유와 관련된 메시지 전송시 발생하는 권한상승 취약점이라면서, 마이크로소프트 보안업데이트 페이지를 참고해 사용제품에 맞는 최신 버전으로 업데이트를 적용할 것을 권고했다. 

해당 게시물에 음란물(아동 포함), 도박,광고가 있거나 바이러스, 사기파일이 첨부된 경우에 하단의 신고를 클릭해주세요.
단, 정상적인 게시물을 신고할 시 사이트 이용에 불이익을 받으실 수 있습니다.

댓글 0
닉네임
14-03-02
답글 0
추천공감 0
감추기
보이기
삭제
신고
댓글을 불러오는데 오류가 발생하였습니다.
댓글입력 ┗답글
┗답글닉네임
14-03-02
감추기
보이기
삭제
신고
댓글을 불러오는데 오류가 발생하였습니다.
해당 게시물에 댓글이 없습니다. 댓글을 달아주세요~!
댓글입력
소셜 계정으로 로그인
게시판 목록
번호 제목 작성자 등록일 점수 조회
[강좌] 화질 안좋은 영상 화질 업하는법 KMP사용 [11]조선나이키03-176213963
[강좌]DAEMON Toolsː설치와 사용방법! [8]GamKo08-2413713801
엔비디아, 최신형 AI 반도체 H200 공개...AMD 타격yang12012-01029
콩가텍, 13세대 인텔 코어 프로세서 탑재 컴퓨터 온 모듈 출시yang12012-01024
첨단 컴퓨터 yang12012-01028
몬스타기어, 화이트감성의 정숙한 수냉PC '티아라' 출시또융11-29036
한글과컴퓨터, 소프트웨어 상장기업 브랜드평판 11월 빅데이터 분석 1위또융11-29036
슈퍼컴퓨터 강국 ‘대한민국’이 갖는 의미또융11-29036
AI 스마트폰·AI 노트북 나온다…삼성 내년 전 제품군에 AI 탑재yang12011-28042
리뉴올PC, 게이밍컴퓨터 할인전 진행yang12011-28039
슈퍼컴퓨터 진화yang12011-28043
“해커 目으로 철통 보안” LG, 사이버보안 강화 ‘SW 전문가 총 출동’tjsgh347111-26058
LG AI연구원-유네스코, AI 윤리 실행·확산에 협력tjsgh347111-26046
"행정 시스템·장비 관리, 이렇게나 엉망?"… 가라앉지 않는 불신들tjsgh347111-26045
맥북 pro m2 vmffotl148811-26042
에어m2vmffotl148811-26042
뉴진스 lg그램 vmffotl148811-26045
에이서, '지스타 2023' 참가.. 게이밍 노트북 '프레데터' 라인업 선보인다yang12011-24051
라이프웍스, HP 게이밍 노트북 특가 프로모션 진행yang12011-24052
슈퍼컴퓨터 성능점유율 하락…네이버·씨유박스 신규 등재yang12011-24049
"계정 털리고 결제 피해"…PC방서 '스팀' 해킹 피해 속출또융11-23055
HP 매출 큰 폭 감소... 中 수요 위축, PC·프린터 판매 부진또융11-23052
디지털 네이티브 시대, PC에서 ‘소리’듣는 다른 옵션들또융11-23060
네이버 슈퍼컴퓨터 '세종', 세계 슈퍼컴 22위 차지yang12011-21052
한국 슈퍼컴퓨터 보유 대수 기준 세계 7위yang12011-21053
국내 슈퍼컴퓨터 종합 성능 '세계 9위'yang12011-21052
이상민 장관, 디지털 정부 홍보 무색… 네카오 장애와 달리 행정 전산망 마비는 ‘침묵’tjsgh347111-18061
게시판 검색 검색