CVE-2023-23397에 대한 보안 업계의 관심이 뜨겁고, 공격자들의 관심은 더 뜨겁다. 아직 3월도 지나지 않았는데 이 취약점은 여러 면에서 ‘올해의 취약점’ 후보로 손색이 없다고 전문가들은 말하고 있다.
[보안뉴스 문가용 기자] 마이크로소프트가 공격자들이 활발하게 익스플로잇 하고 있는 아웃룩 제로데이 취약점 하나를 패치했다. 이 취약점은 CVE-2023-23397로, 공격자들은 이 취약점을 익스플로잇 해서 권한을 상승시키고, 피해자의 Net-NTLM v2 인증 해시에 접근하고, 정상적인 사용자를 사칭할 수 있게 된다.
[이미지 = utoimage]
조사와 분석이 이어질수록 CVE-2023-23397 취약점이 단순 권한 상승 취약점이 아니라는 사실이 드러나고 있다. 심지어 올해 최악의 취약점으로 기록될 가능성이 다분해지고 있다. 취약점이 공개된 것이 불과 1주일 전인데 벌써 개념증명용 익스플로잇이 무섭게 앞다투어 등장하고 있으며, 이것들이 전부 공격자들에게 좋은 도구가 될 것은 불 보듯 뻔한 일이다. 그러므로 빠른 패치가 필요하다.
쉬운 익스플로잇
CVE-2023-23397의 가장 큰 특징은 공격자들이 사용자의 NTLM 인증 해시를 가져갈 수 있도록 한다는 것이다. 그것도 피해자에게 악성 아웃룩 메일이나 임무를 전송하는 것만으로 말이다. 공격자가 보낸 뭔가를 아웃룩 클라이언트가 처리하는 것만으로도 CVE-2023-23397이 익스플로잇 된다는 뜻이다. 미리보기가 활성화 되기 이전부터 이미 공격이 끝난다. 피해자가 실수로 뭔가를 클릭하거나 열어볼 필요도 없다.
이 취약점을 제일 먼저 발견한 건 우크라이나 침해대응센터의 전문가들과 마이크로소프트의 취약점 연구원이었다. MS는 지난 주 정기 패치일을 통해 패치를 발표했다. 익스체인지 서버를 운영하고 있고, 윈도용 아웃룩 데스크톱 클라이언트가 설치된 조직들에 영향이 있다. 안드로이드용, iOS용, 맥용, 웹용 아웃룩 클라이언트들에서는 이 취약점이 발견되지 않았다.
“해커들이 외부에서부터 특수하게 제작한 이메일을 피해자에게 보내기만 하면, 공격자가 외부에서 제어하는 UNC와 피해자가 연결이 됩니다.” 보안 업체 오캄섹(OccamSec)의 CEO 마크 스탬포드(Mark Stamford)의 설명이다. “이 상태에서는 피해자의 Net-NTLM v2 해시가 공격자의 손에 그대로 유출됩니다. 공격자가 이 정보를 다른 서비스로 보내면, 피해자의 자격으로 인증됩니다.”
익스플로잇과 관련된 여러 가지 위험 가능성들
공격자들은 실제 공격 상황에서 이 취약점을 어떤 식으로 악용할까? 보안 업체 포트레이스(Foretrace)의 CEO 닉 아스콜리(Nick Ascoli)는 “MS가 공격자들의 실제 익스플로잇 방법을 명확하게 공개하지 않았기 때문에 예측하기가 조심스럽다”며 “인증을 통과할 수 있다는 건 네트워크 상에서 다른 시스템으로 이동할 수 있다는 뜻”이라고 짚는다. 즉 횡적 움직임을 구사하는 데 적극 활용될 것으로 보인다는 뜻이다. “그 외에도 데이터 탈취 공격도 가능하고, 추가 멀웨어 설치도 가능합니다. 공격자가 침해한 사용자가 어느 정도의 권한을 가지고 있었느냐에 따라 피해는 다양해질 수 있습니다.”
또 다른 보안 업체 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “특정 조직 내에서 통용되는 신원을 가져갈 수 있다는 뜻이 되므로 BEC 공격을 일삼는 자들이 이를 악용할 수 있게 된다면 꽤나 큰 피해가 발생할 수도 있다”고 예상한다. “조직 구성원들은 보통 네트워크 내에서 신뢰를 받죠. 그 신뢰를 몽땅 가져간다는 거니까, 공격자가 사실상 뭔들 못하겠습니까. 아이덴티티 관리 체계까지 속일 수 있게 되고, 따라서 내부에서 신뢰를 기반으로 이뤄지는 모든 대화에도 참여할 수 있게 됩니다.”
2023년 최악의 버그?
익스플로잇이 간단하고, 피해자의 특정 행동을 유발할 필요도 없으며, 공격자가 가져갈 수 있는 게 너무나 많기 때문에 벌써부터 CVE-2023-23397은 올해 최악의 취약점으로 꼽히고 있다. 브룸헤드는 “아직 연초이기 때문에 단언하기에는 이르지만, 연말에 최악의 취약점을 뽑게 될 때 CVE-2023-23397은 주요 후보 중 하나가 될 것은 분명해 보인다”고 말한다. “아웃룩 클라이언트에서 나온 취약점이라는 건 대기업이든 중소기업이든 모두가 공격 표적이 될 수 있다는 것입니다. 어느 산업에 있는지도 전혀 상관이 없죠. 피해자가 보안 교육을 철저히 받고, 흠 잡을 데 없이 안전한 사이버 생활을 해도 막을 수 없습니다.”
잠재적인 공격 표적으로 분류할 만한 사람과 기업들의 수는 가늠조차 되지 않는다. “단순하게 아웃룩 데스크톱을 설치한 사람만 생각해도 어마어마하게 많습니다. 여기에다가 윈도 365(Windows 365)와 연결된 IT 시스템까지도 포함시키면 사용자가 몇 곱절로 불어나죠. 거기서 끝이 아닙니다. 아웃룩을 통해서 보낸 메일을 받은 사람들까지도 영향권 아래 있을 수 있습니다. 받는 사람 입장에서 아웃룩을 사용하지 않더라도요. 그러면 사실상 거의 모든 사람이 영향을 받는다고 해야겠죠.”
여기에 더해 개념증명용 익스플로잇이 이미 여러 개 나와 온라인 상에서 유포되고 있다는 것도 문제를 더 심각하게 만든다. 보안 업체 호넷시큐리티(Hornetsecurity)의 CEO 다니엘 호프만(Daniel Hofmann)은 “취약점 자체가 이미 공개됐고, 개념증명용 코드들조차 잘 문서화 되어서 정리되고 있다”며 “이미 여러 공격자들이 활발하게 연구 중에 있을 것”이라고 말한다. “광범위한 잠재 피해자들을 광범위한 공격자들이 노리고 있는 상황이라고 말할 수 있습니다.”
어떻게 해야 안전해질까?
이런 상황에서 기업들은 어떻게 대처해야 할까. 브룸헤드는 “패치 외의 위험 완화 대책은 사실 그리 권장되지 않는다”고 운을 뗀다. “그러므로 무슨 일이 있어도 패치를 하는 게 좋습니다. 어떤 상황이라도 패치를 하는 것을 권합니다.”
하지만 어떻게 해도 패치가 불가능한 조직이라면 어떨까? 호프만은 "TCP 445/SMB 아웃바운드 트래픽을 차단하라”고 말한다. “내부의 트래픽이 TCP445를 통해 공공 인터넷으로 나가지 못하게 해야 합니다. 그렇게 하면 NTLM 인증 메시지들이 원격 서버나 파일 공유 폴더로 전달되지 않게 됩니다. 공격자의 첫 단추가 끼워지지 않게 하는 겁니다.”
또 하나 생각해볼 수 있는 건 액티브 디렉토리의 ‘보호된 사용자 보안 그룹(Protected Users Security Group)’에 사용자들을 추가하는 것이다. 이렇게 하면 NTLM이 인증 장치로서 활용되지 못하게 할 수 있다. “NTLM을 직접 비활성화시키는 방법들도 몇 가지 있습니다만, 이렇게 액티브 디렉토리를 만지는 게 가장 간단한 편입니다. 가치가 높은 계정들을 보호할 때 이런 식으로 하면 꽤나 유용할 겁니다.” 브룸헤드의 설명이다.
3줄 요약
1. 아웃룩 윈도 클라이언트에서 발견된 제로데이 취약점, CVE-2023-23397.
2. 잠재적 피해자는 사실상 이메일을 사용하는 세상 모든 사람.
3. 피해자의 행동을 유발하지 않아도 익스플로잇 가능.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트가 공격자들이 활발하게 익스플로잇 하고 있는 아웃룩 제로데이 취약점 하나를 패치했다. 이 취약점은 CVE-2023-23397로, 공격자들은 이 취약점을 익스플로잇 해서 권한을 상승시키고, 피해자의 Net-NTLM v2 인증 해시에 접근하고, 정상적인 사용자를 사칭할 수 있게 된다.
[이미지 = utoimage]
조사와 분석이 이어질수록 CVE-2023-23397 취약점이 단순 권한 상승 취약점이 아니라는 사실이 드러나고 있다. 심지어 올해 최악의 취약점으로 기록될 가능성이 다분해지고 있다. 취약점이 공개된 것이 불과 1주일 전인데 벌써 개념증명용 익스플로잇이 무섭게 앞다투어 등장하고 있으며, 이것들이 전부 공격자들에게 좋은 도구가 될 것은 불 보듯 뻔한 일이다. 그러므로 빠른 패치가 필요하다.
쉬운 익스플로잇
CVE-2023-23397의 가장 큰 특징은 공격자들이 사용자의 NTLM 인증 해시를 가져갈 수 있도록 한다는 것이다. 그것도 피해자에게 악성 아웃룩 메일이나 임무를 전송하는 것만으로 말이다. 공격자가 보낸 뭔가를 아웃룩 클라이언트가 처리하는 것만으로도 CVE-2023-23397이 익스플로잇 된다는 뜻이다. 미리보기가 활성화 되기 이전부터 이미 공격이 끝난다. 피해자가 실수로 뭔가를 클릭하거나 열어볼 필요도 없다.
이 취약점을 제일 먼저 발견한 건 우크라이나 침해대응센터의 전문가들과 마이크로소프트의 취약점 연구원이었다. MS는 지난 주 정기 패치일을 통해 패치를 발표했다. 익스체인지 서버를 운영하고 있고, 윈도용 아웃룩 데스크톱 클라이언트가 설치된 조직들에 영향이 있다. 안드로이드용, iOS용, 맥용, 웹용 아웃룩 클라이언트들에서는 이 취약점이 발견되지 않았다.
“해커들이 외부에서부터 특수하게 제작한 이메일을 피해자에게 보내기만 하면, 공격자가 외부에서 제어하는 UNC와 피해자가 연결이 됩니다.” 보안 업체 오캄섹(OccamSec)의 CEO 마크 스탬포드(Mark Stamford)의 설명이다. “이 상태에서는 피해자의 Net-NTLM v2 해시가 공격자의 손에 그대로 유출됩니다. 공격자가 이 정보를 다른 서비스로 보내면, 피해자의 자격으로 인증됩니다.”
익스플로잇과 관련된 여러 가지 위험 가능성들
공격자들은 실제 공격 상황에서 이 취약점을 어떤 식으로 악용할까? 보안 업체 포트레이스(Foretrace)의 CEO 닉 아스콜리(Nick Ascoli)는 “MS가 공격자들의 실제 익스플로잇 방법을 명확하게 공개하지 않았기 때문에 예측하기가 조심스럽다”며 “인증을 통과할 수 있다는 건 네트워크 상에서 다른 시스템으로 이동할 수 있다는 뜻”이라고 짚는다. 즉 횡적 움직임을 구사하는 데 적극 활용될 것으로 보인다는 뜻이다. “그 외에도 데이터 탈취 공격도 가능하고, 추가 멀웨어 설치도 가능합니다. 공격자가 침해한 사용자가 어느 정도의 권한을 가지고 있었느냐에 따라 피해는 다양해질 수 있습니다.”
또 다른 보안 업체 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “특정 조직 내에서 통용되는 신원을 가져갈 수 있다는 뜻이 되므로 BEC 공격을 일삼는 자들이 이를 악용할 수 있게 된다면 꽤나 큰 피해가 발생할 수도 있다”고 예상한다. “조직 구성원들은 보통 네트워크 내에서 신뢰를 받죠. 그 신뢰를 몽땅 가져간다는 거니까, 공격자가 사실상 뭔들 못하겠습니까. 아이덴티티 관리 체계까지 속일 수 있게 되고, 따라서 내부에서 신뢰를 기반으로 이뤄지는 모든 대화에도 참여할 수 있게 됩니다.”
2023년 최악의 버그?
익스플로잇이 간단하고, 피해자의 특정 행동을 유발할 필요도 없으며, 공격자가 가져갈 수 있는 게 너무나 많기 때문에 벌써부터 CVE-2023-23397은 올해 최악의 취약점으로 꼽히고 있다. 브룸헤드는 “아직 연초이기 때문에 단언하기에는 이르지만, 연말에 최악의 취약점을 뽑게 될 때 CVE-2023-23397은 주요 후보 중 하나가 될 것은 분명해 보인다”고 말한다. “아웃룩 클라이언트에서 나온 취약점이라는 건 대기업이든 중소기업이든 모두가 공격 표적이 될 수 있다는 것입니다. 어느 산업에 있는지도 전혀 상관이 없죠. 피해자가 보안 교육을 철저히 받고, 흠 잡을 데 없이 안전한 사이버 생활을 해도 막을 수 없습니다.”
잠재적인 공격 표적으로 분류할 만한 사람과 기업들의 수는 가늠조차 되지 않는다. “단순하게 아웃룩 데스크톱을 설치한 사람만 생각해도 어마어마하게 많습니다. 여기에다가 윈도 365(Windows 365)와 연결된 IT 시스템까지도 포함시키면 사용자가 몇 곱절로 불어나죠. 거기서 끝이 아닙니다. 아웃룩을 통해서 보낸 메일을 받은 사람들까지도 영향권 아래 있을 수 있습니다. 받는 사람 입장에서 아웃룩을 사용하지 않더라도요. 그러면 사실상 거의 모든 사람이 영향을 받는다고 해야겠죠.”
여기에 더해 개념증명용 익스플로잇이 이미 여러 개 나와 온라인 상에서 유포되고 있다는 것도 문제를 더 심각하게 만든다. 보안 업체 호넷시큐리티(Hornetsecurity)의 CEO 다니엘 호프만(Daniel Hofmann)은 “취약점 자체가 이미 공개됐고, 개념증명용 코드들조차 잘 문서화 되어서 정리되고 있다”며 “이미 여러 공격자들이 활발하게 연구 중에 있을 것”이라고 말한다. “광범위한 잠재 피해자들을 광범위한 공격자들이 노리고 있는 상황이라고 말할 수 있습니다.”
어떻게 해야 안전해질까?
이런 상황에서 기업들은 어떻게 대처해야 할까. 브룸헤드는 “패치 외의 위험 완화 대책은 사실 그리 권장되지 않는다”고 운을 뗀다. “그러므로 무슨 일이 있어도 패치를 하는 게 좋습니다. 어떤 상황이라도 패치를 하는 것을 권합니다.”
하지만 어떻게 해도 패치가 불가능한 조직이라면 어떨까? 호프만은 "TCP 445/SMB 아웃바운드 트래픽을 차단하라”고 말한다. “내부의 트래픽이 TCP445를 통해 공공 인터넷으로 나가지 못하게 해야 합니다. 그렇게 하면 NTLM 인증 메시지들이 원격 서버나 파일 공유 폴더로 전달되지 않게 됩니다. 공격자의 첫 단추가 끼워지지 않게 하는 겁니다.”
또 하나 생각해볼 수 있는 건 액티브 디렉토리의 ‘보호된 사용자 보안 그룹(Protected Users Security Group)’에 사용자들을 추가하는 것이다. 이렇게 하면 NTLM이 인증 장치로서 활용되지 못하게 할 수 있다. “NTLM을 직접 비활성화시키는 방법들도 몇 가지 있습니다만, 이렇게 액티브 디렉토리를 만지는 게 가장 간단한 편입니다. 가치가 높은 계정들을 보호할 때 이런 식으로 하면 꽤나 유용할 겁니다.” 브룸헤드의 설명이다.
3줄 요약
1. 아웃룩 윈도 클라이언트에서 발견된 제로데이 취약점, CVE-2023-23397.
2. 잠재적 피해자는 사실상 이메일을 사용하는 세상 모든 사람.
3. 피해자의 행동을 유발하지 않아도 익스플로잇 가능.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
