로그인이 필요합니다.

로그인정보입력
소셜 계정으로 로그인
닫기

로그인폼

커뮤니티COMMUNITY

커뮤니티 > 컴퓨터

MS 아웃룩 제로데이 취약점 패치 발표... 메일 읽지 않아도 탈취 가능

lsmin0420
BEST1
출석 : 285일
Exp. 57%
[등록된 소개글이 없습니다]

MS 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치

러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정

[보안뉴스 원병철 기자] 러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정되는 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치가 발표됐다. 마이크로소프트는 보안을 유지하려면 모든 고객이 ‘윈도우용 마이크로소프트 아웃룩’을 업데이트하라고 권고했다.

[이미지=utoimage]


이번에 공개된 제로데이 취약점은 모든 버전의 아웃룩이며, 다행이 윈도우를 제외한 다른 운영체제, 즉 안드로이드, iOS, Mac, 웹용 아웃룩 및 기타 M365 서비스와 같은 다른 버전의 아웃룩은 영향을 받지 않는다.

CVE-2023-23397, 사용자 상호 작용이 필요 없는 아웃룩 제로데이 취약점으로 개념증명 탈취에 이미 널리 활용
마이크로소프트에 따르면, CVR-2023-2397은 공격자가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로와 함께 MAPI 속성이 포함된 메시지를 보낼 때 트리거되는 아웃룩의 치명적인 EoP(Elevation of Privilege, 권한상승) 취약점이다. 게다가 사용자의 상호작용, 즉 메일을 열지 않아도 발생하기 때문에 더 위험하다. 공격자는 원격 SMB 서버에 대한 연결을 사용해 사용자의 NTLM 협상 메시지를 보내며, 이후 공격자는 NTLM 인증을 지원하는 다른 시스템에 대한 인증을 위해 이를 릴레이 할 수 있다.

특히, CVE-2023-23397은 사용자 상호 작용이 필요 없는 아웃룩 제로데이 취약점으로 개념증명(Proof-of-concepts; POC) 탈취에 이미 널리 활용됐으며, 보안기업 맨디언트의 위협 인텔리전스는 공격에 필요한 권한이나 사용자 상호작용이 없는 권한 상승 가능성으로 인해 이를 고위험 취약점으로 간주했다. 탈취에 성공하면 공격자는 여러 서비스에서 인증과 시스템 침투가 가능하다. 해당 제로데이 취약점은 스파이 활동이나 금전적 목적의 공격자에게 즉시 활용될 가능성이 높은 상황이다.

맨디언트는 이번 제로데이 취약점이 지난 1년 동안 조직과 중요 인프라를 대상으로 활용됐다고 추정했다. 이러한 타깃팅으로 해당 공격 그룹은 우크라이나 안팎으로 파괴적인 공격뿐만 아니라 전략적 정보 수집을 진행할 수 있다고 강조했다.

러시아 GRU 연계 그룹인 ‘APT28’이 배후인 제로데이 취약점 초기 탈취 공격을 추적하기 위해 해당 그룹을 UNC4697으로 분류했으며, APT28는 우크라이나 내외에서 정기적으로 사이버 스파이와 정보작전(Information Operation: IO)을 수행하며 파괴적인 공격을 담당하는 러시아 해킹 그룹 샌드웜(Sandworm)과 자주 협력해왔다고 소개했다. 아울러 이 취약점은 2022년 4월부터 폴란드, 우크라이나, 루마니아, 튀르키예에 위치한 정부, 물류, 석유/가스, 방위 및 운송 산업을 타깃으로 사용됐다고 덧붙였다.

CVE-2023-23397 취약점 공격 발생순서
- 공격자가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로를 포함하는 확장 MAPI 속성을 사용해 악의적인 전자 메일을 특수하게 조작함
- 전자 메일이 수신되면 SMB 공유가 연결이 열리고 사용자의 NTLM 협상 메시지가 전송됨. 이를 통해 공격자는 사용자의 Net-NTLMv2 해시를 검색함
- 공격자는 NTLM 해시를 전달해 피해 조직 환경의 다른 시스템에 인증하는, 일반적으로 ‘PtH(Pass the Hash)’라고 부르는 공격을 착수함
- 피해 계정이 전자 메일을 확인하기 전 아웃룩이 이메일을 수신하고 처리할 때 탈취가 발생할 수 있도록 SMB 공유가 연결됨


맨디언트는 범죄자 및 사이버 스파이 공격자를 포함한 여러 국가 차원 및 금전적 동기의 공격자가 CVE-2023-23397 취약점을 광범위하고 신속하게 악용할 것으로 예상했으며, 단기적으로 이러한 공격자들은 아직 패치가 진행되지 않은 시스템에서 공격의 발판을 마련하기 위해 빠르게 움직일 것으로 추측된다고 강조했다.

전략적 목적을 위한 정보 수집 외에도, 맨디언트는 이 제로데이 취약점이 잠재적인 파괴적 사이버 공격을 위해 우크라이나 내외부의 중요한 인프라를 목표로 하는 데 사용됐다고 추측했다. 해당 제로데이 취약점은 클라우드 기반 전자 메일 솔루션에는 영향을 주지 않는다.

이번 마이크로소프트 제로데이 취약점 발표와 관련해 구글 클라우드 맨디언트 위협 인텔리전스 분석 총괄 존 헐트퀴스트(John Hultquist)는 “이는 공격적이고 파괴적인 사이버 공격 대상이 우크라이나에 국한되지 않는다는 증거이며 보안팀이 모든 것을 탐지할 수는 없다는 사실을 상기시킨다. 공격에 대한 준비를 포착한다고 해서 공격이 임박했다는 것을 암시하지는 않으며 지정학적 상황으로 인해 시간차가 있을 수 있다. 이는 또한 보안팀이 분쟁에서 모든 진행 상황을 파악할 수 없다는 것을 나타낸다. 스파이로 활동하는 이 공격자들은 보안팀을 성공적으로 피해 공격을 진행한 전력이 다수 있기 때문이다. 이번 공격은 선전 이벤트가 될 것이다. 해당 제로데이 취약점은 단기적으로 큰 수익을 챙기려는 국가 차원의 공격자와 범죄자 모두에게 훌륭한 툴이다. 패치되지 않은 시스템을 찾는 공격자와 이를 막으려는 조직의 경주는 이미 시작됐다”고 설명했다.

한편, 한국인터넷진흥원(KISA)도 보안공지를 통해 CVE-2023-23397의 보안 업데이트를 권고했다. KISA는 CVE-2023-23397이 마이크로소프트 아웃룩에서 SMB(TCP 445) 공유와 관련된 메시지 전송시 발생하는 권한상승 취약점이라면서, 마이크로소프트 보안업데이트 페이지를 참고해 사용제품에 맞는 최신 버전으로 업데이트를 적용할 것을 권고했다. 

해당 게시물에 음란물(아동 포함), 도박,광고가 있거나 바이러스, 사기파일이 첨부된 경우에 하단의 신고를 클릭해주세요.
단, 정상적인 게시물을 신고할 시 사이트 이용에 불이익을 받으실 수 있습니다.

댓글 0
닉네임
14-03-02
답글 0
추천공감 0
감추기
보이기
삭제
신고
댓글을 불러오는데 오류가 발생하였습니다.
댓글입력 ┗답글
┗답글닉네임
14-03-02
감추기
보이기
삭제
신고
댓글을 불러오는데 오류가 발생하였습니다.
해당 게시물에 댓글이 없습니다. 댓글을 달아주세요~!
댓글입력
소셜 계정으로 로그인
게시판 목록
번호 제목 작성자 등록일 점수 조회
[강좌] 화질 안좋은 영상 화질 업하는법 KMP사용 [11]조선나이키03-176213459
[강좌]DAEMON Toolsː설치와 사용방법! [8]GamKo08-2413713369
엔비디아, 차세대 AI 슈퍼컴퓨터 시스템 ‘DGX GH200’ 공개lsmin042006-02021
10만 큐비트 양자컴퓨터를 탄생시키려는 IBMlsmin042006-02022
엔비디아發 '슈퍼컴퓨터' 대격돌… 승자는lsmin042006-02022
"韓 슈퍼컴퓨터 노하우 전수"…인도네시아 SOS에 KISTI 나섰다또융06-01024
슈퍼컴퓨터 '기술 자립' 나선다…"생태계 확대, 전문인력 양성"또융06-01024
엔비디아, 차세대 AI 슈퍼컴퓨터 시스템 ‘DGX GH200’ 공개또융06-01025
짐보프로토콜 해킹 공격으로 암호화폐 750만 달러어치 사라져lsmin042005-30027
엔비디아, AI 애플리케이션 수요 급증에 이스라엘서 슈퍼컴퓨터 구축lsmin042005-30028
[컴퓨텍스 2023] 엔비디아, 18톤급 슈퍼컴퓨터 'DGX GH200' 공개lsmin042005-30026
[인터뷰] ‘컴퓨터 과학의 노벨상’ 받은 이스라엘 석학이 말하는 AI의 미래gudals9105-28033
슈퍼컴퓨터 예측, “리즈와 레스터가 챔피언십 강등”gudals9105-28030
동료 변호사 랜선 자르고 컴퓨터 비번 바꾼 로펌 대표gudals9105-28032
한국 슈퍼컴퓨터 종합 성능 세계 8위 올랐다lsmin042005-26036
인텔은 GPU, 엔비디아는 CPU 내세운 슈퍼컴퓨터 공개lsmin042005-26033
영원한 기억력 가질 수 있나···사람 뇌에 칩 심기 가능해졌다lsmin042005-26038
한국과학기술정보연구원, 슈퍼컴퓨터 5호기 누리온 세계 “49위”...슈퍼컴퓨터 6호기 도입 준비또융05-25032
AMD, 슈퍼컴퓨터 시장 점유율 확장…전년대비 29% 증가또융05-25037
인텔은 GPU, 엔비디아는 CPU 내세운 슈퍼컴퓨터 공개또융05-25038
유일한 엑사급 슈퍼컴 '프론티어' 18개월째 세계 1위lsmin042005-23047
GPU로 날개단 엔비디아, 슈퍼컴퓨터용 CPU도 진출lsmin042005-23045
美 '프론티어' 2년 연속 슈퍼컴퓨터 1위…韓은 세계 8위lsmin042005-23043
파빌리온 에어 vmffotl148805-21047
삼성 노트북 플러스 vmffotl148805-21054
갤럭시 노트북 vmffotl148805-21048
오후 1:00 현재 코스닥은 43:57으로 매수우위, 매도강세 업종은 컴퓨터서비스업(0.87%↑)또융05-19064
게시판 검색 검색