보안 심각도 평가하는 CVSS 점수 9.8점으로 높게 부여
악의적 메일 수신 시 원격 제어 SMB 서버에 인증...NTLM 해시 탈취 가능

[보안뉴스 김영명 기자] 마이크로소프트(Microsoft) 사는 최근 윈도(Windows)용 아웃룩(Outlook)의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있는 것을 발견했다. 마이크로소프트는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 9.8점으로 높게 부여했다.


▲Outlook 미리 알림 기능[자료=안랩 ASEC 분석팀]

마이크로소프트 Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 이 기능은 약속 기한이 지났을 때도 ‘appointment test’라는 메시지로 알림을 계속 보내게 된다. 이때 MAPI의 PidLidReminderFileParameter 프로퍼티는 약속 기한이 지나, 지연 알림을 할 때 클라이언트가 재생할 사운드의 파일 경로(UNC)를 지정하는 데 사용된다. 또한, PidLidReminderOverride 프로퍼티는 PidLidReminderFileParameter 값을 신뢰할 것인지 설정하는 프로퍼티이기도 하다.

메일(msg) 내 PidLidReminderFileParameter 값은 공격자가 제어 가능한 SMB 서버로, PidLidReminderOverride 값은 true로 구성해 전송하면, 수신받은 상대는 아무런 상호작용 없이 취약점에 노출된다.


▲악성 msg를 만드는 PoC 코드 일부[자료=안랩 ASEC 분석팀]

만약 사용자가 위처럼 악의적으로 작성된 메일을 수신할 경우, 재생할 사운드의 파일이 위치하며 공격자가 제어하는 ​​SMB 서버에 인증하도록 강제된다. 결국, NTLM 협상 요청을 통해 NTLM 해시를 훔칠 수 있게 된다.

이번 취약점은 마이크로소프트의 3월 정기 보안 업데이트 이전의 모든 윈도용 Microsoft Outlook에 해당한다. 다만, Android, iOS, Mac과 같은 다른 버전의 Microsoft Outlook과 웹용 Outlook 및 기타 M365 서비스는 영향을 받지 않는다.

취약점 완화를 위해서는 첫 번째로, 보호된 사용자 보안 그룹(Protected Users Security Group)에 유저를 추가해 NTLM을 인증 메커니즘으로 사용하지 못하도록 해야 한다. 이 경우 NTLM이 필요한 애플리케이션에 영향을 미칠 수 있다. 두 번째로, 네트워크에서 TCP 445/SMB 아웃바운드를 차단한다. 그밖에 자세한 완화 방식은 MSRC Mitigations 카테고리를 참고하면 된다.

해당 취약점의 점검 방법으로 마이크로소포트는 지난 15일 CVE-2023-23397 취약점을 악용하는 메시징 항목(메일, 일정 및 작업)이 Exchange 환경 내에 존재하는지 검사하는 스크립트를 공개했다.

Outlook을 운영하는 조직은 제공된 CVE-2023-23397.ps1 스크립트를 통해 취약점을 악용한 공격이 이뤄졌는지 확인할 수 있다. 해당 스크립트가 작동하기 위한 조건으로 먼저 Exchange Server(on-premises)에서는 EMS(Exchange 관리 셸)에서 특정한 PowerShell 명령을 실행하면 된다. 또한, Exchange Online에서는 전역 관리자 또는 응용 프로그램 관리자 권한으로 실행하면 된다.


▲EMS(Exchange 관리 셸) 내 PowerShell 명령문[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀 관계자는 “해당 스크립트는 Audit Mode 및 Cleanup Mode 등 두 개의 점검 방법을 지원한다”며 “먼저, Audit Mode에서 스크립트는 속성이 채워진 항목의 세부 정보가 포함된 CSV 파일을 제공하고, Cleanup Mode에서 스크립트는 속성을 지우거나 항목을 삭제해 감지된 항목에 대한 정리를 수행한다”고 밝혔다. 그밖에 자세한 점검 방법은 CSS Exchange 홈페이지를 참고하면 된다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>