Microsoft Outlook Elevation of Privilege Vulnerability [CVE-2023-23397] ZeroDay Attack 제로데이 취약점
3월 17일 MS Office Outlook 과 관련한 ZeroDay Attack 이 확인되었습니다.
아직 해당 취약점에 대응하지 못하셨다면, 빠르게 조치하시는 것을 권합니다.
CVSS (공통 취약점 등급 시스템)에서도 해당 취약점을 9.8점으로 평가했습니다.
해커가 smb (tcp/445) 에 접근하는 메일을 보내고 아웃룩으로 그걸 받으면, 링크든 뭐든 그걸 클릭하지 않아도 아웃룩으로 메일을 받기만 하면 감염되는 무서운 제로데이로 보입니다.
(바로 권한상승으로 이어지게 됩니다)
* CVE-2023-23397
- MS Office Outlook(Outlook.exe가 설치된 Windows의 특정 버전들에 한정) 대상으로 ZeroDay Attack 확인
- 실제 공격은 22년 4월 이전부터 러시아 해커집단에 의해 수행된 것으로 추정
- SMB(TCP 445) Outbound에 대한 메세지 전송 시 발생하는 권한 상승 취약점
- Outlook이 열린 상태이며, SMB에 액세스를 시도하여 Server-Client간 해시된 로그인 자격 증명을 사용통해 강제 권한 상승을 수행하여 Windows NTLM(New technology LAN Manager) 인증을 지원하는 타 시스템에 추가적인 권한 상승을 유도할 수 있는 Relay Attack
- Outlook Exchange 메세징 항목(IPM.Note, IPM.Appointment, IPM.Task)을 확인하여 속성이 UNC(Universal Naming Convention)경로
(일종의 네트워크에서 공유되는 파일 또는 폴더 경로 ex= \\Server2\Share\Test\Foo.txt)와 함께 MAPI(Messaging API) 속성이 지정된 메세지를 전송하여 NTLM 해시 탈취
* 탐지 방안
- Outlook이 설치된 엔드포인트 자체에서 MS에서 공유한 Powershell Script를 통한 취약한 Exchange 서버에 대한 확인 및 공격 지표 식별
- 현재 네트워크단의 보안장비에서는 SMBv1, v2 프로토콜에 대한 협상 탐지 필터를 사용하거나, SMB Outbound 요청에 대한 직접적 탐지로 기업 운영 환경에서 Risk가 존재하는 탐지 방안만 존재
* 대응 방안
1) 사용자 수준 : NTLM을 통한 인증 매커니즘 사용이 불가하도록 보호된 사용자 보안 그룹에 사용자 추가(Windows ADAC, Powershell, CMD 기반 적용)
(https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group / https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/how-to-configure-protected-accounts)
2) 사용자 또는 기업 수준(일시적 수준 방편) : FW, VPN 등에서 Outbound TCP 445/SMB 포트 차단
3) 패치 : 해당 페이지의 Security Updates(보안 업데이트)를 확인하여 특정 버전의 제품에 해당하는지 확인 후 업데이트 다운로드 및 적용
공격 시연 영상은 다음 링크에서 확인할 수 있습니다.