해커들은 보안 네트워크에 침투할 수 있는 새로운 방법을 끊임없이 찾고 있습니다. 모든 책임 있는 기업이 보안에 투자하기 때문에 이는 어려운 과제입니다. 그러나 항상 효과적인 방법 중 하나는 널리 사용되는 소프트웨어 제품의 새로운 취약점을 이용하는 것입니다.
해커가 계정 소유자에게 이메일을 보내는 것만으로 비밀번호를 훔칠 수 있는 취약점이 최근 Outlook에서 발견되었습니다. 패치가 릴리스되었지만 아직 많은 기업이 Outlook 버전을 업데이트하지 않은 상태입니다.
그렇다면 이 취약점은 무엇이며 기업은 어떻게 이 취약점을 방어할 수 있을까요?
CVE-2023-23397 취약점이란 무엇인가요?
CVE-2023-23397 취약점은 Windows에서 실행되는 Microsoft Outlook에 영향을 미치는 권한 상승 취약점입니다.
이 취약점은 2022년 4월부터 12월까지 다양한 산업을 대상으로 한 국가 행위자들이 사용한 것으로 추정됩니다. 패치는 2023년 3월에 릴리스되었습니다.
패치가 출시되었다는 것은 조직이 쉽게 방어할 수 있다는 것을 의미하지만, 현재 이 취약점이 대대적으로 홍보되고 있다는 것은 패치를 하지 않은 비즈니스에 대한 위험이 증가했다는 것을 의미합니다.
국가가 처음에 사용했던 취약점이 사용 가능 여부가 알려지면 개인 해커와 해킹 그룹이 널리 사용하는 경우가 드물지 않습니다.
Microsoft Outlook 취약점의 표적이 되는 대상은 누구인가요?
CVE-2023-23397 취약점은 Windows에서 실행되는 Outlook에만 유효합니다. Android, Apple 및 웹 사용자는 영향을 받지 않으므로 소프트웨어를 업데이트할 필요가 없습니다.
개인은 기업을 표적으로 삼는 것만큼 수익성이 높지 않기 때문에 개인이 표적이 될 가능성은 낮습니다. 그러나 개인이 Windows용 Outlook을 사용하는 경우 소프트웨어를 업데이트해야 합니다.
많은 기업이 중요한 데이터를 보호하기 위해 Windows용 Outlook을 사용하기 때문에 기업이 주요 표적이 될 가능성이 높습니다. 공격이 쉽게 수행될 수 있고 소프트웨어를 사용하는 기업의 수가 많기 때문에 이 취약점은 해커들에게 인기가 있을 가능성이 높습니다.
취약점은 어떻게 작동하나요?
이 공격은 특정 속성이 있는 이메일을 사용하여 Microsoft Outlook이 피해자의 NTLM 해시를 공개하도록 합니다. NTLM은 신기술 LAN 마스터의 약자로, 이 해시는 피해자 계정에 대한 인증에 사용될 수 있습니다.
이 이메일은 공격자가 제어하는 서버 메시지 블록 공유의 경로가 포함된 확장 MAPI(Microsoft Outlook 메시징 응용 프로그래밍 인터페이스) 속성을 사용하여 해시를 획득합니다.
Outlook이 이 이메일을 수신하면 NTLM 해시를 사용하여 SMB 공유에 대한 인증을 시도합니다. 그러면 SMB 공유를 제어하는 해커가 해시에 액세스할 수 있습니다.
Outlook 취약점이 효과적인 이유는 무엇인가요?
CVE-2023-23397은 여러 가지 이유로 효과적인 취약점입니다:
⭐ Outlook은 다양한 비즈니스에서 사용됩니다. 따라서 해커에게 매력적입니다.
⭐ CVE-2023-23397 취약점은 사용하기 쉬우며 구현하는 데 많은 기술 지식이 필요하지 않습니다.
⭐ CVE-2023-23397 취약점은 방어하기 어렵습니다. 대부분의 이메일 기반 공격은 수신자가 이메일과 상호 작용해야 합니다. 이 취약점은 아무런 상호 작용 없이도 효과적입니다. 따라서 직원들에게 피싱 이메일에 대해 교육하거나 이메일 첨부 파일을 다운로드하지 말라고 말하는 것(즉, 악성 이메일을 피하기 위한 기존의 방법)은 아무런 효과가 없습니다.
⭐ 이 공격은 어떤 유형의 바이러스도 사용하지 않습니다. 따라서 보안 소프트웨어에 의해 탐지되지 않습니다.
이 취약점의 피해자에게는 어떤 일이 발생하나요?
CVE-2023-23397 취약점을 통해 공격자는 피해자의 계정에 액세스할 수 있습니다. 따라서 피해자의 액세스 권한에 따라 결과가 달라집니다. 공격자는 데이터를 훔치거나 랜섬웨어 공격을 시작할 수 있습니다.
피해자가 개인 데이터에 액세스할 수 있는 경우 공격자는 이를 탈취할 수 있습니다. 고객 정보의 경우 다크웹에서 판매될 수 있습니다. 이는 고객뿐만 아니라 기업의 평판에도 문제가 됩니다.
공격자는 랜섬웨어를 사용하여 개인 정보 또는 중요한 정보를 암호화할 수도 있습니다. 랜섬웨어 공격이 성공하면 기업이 공격자에게 몸값을 지불하지 않는 한 모든 데이터에 액세스할 수 없습니다(이 경우에도 사이버 범죄자는 데이터를 해독하지 않기로 결정할 수 있습니다).
CVE-2023-23397 취약점의 영향을 받는지 확인하는 방법
비즈니스가 이미 이 취약점의 영향을 받았을 수 있다고 생각되면 Microsoft의 PowerShell 스크립트를 사용하여 시스템을 자동으로 확인할 수 있습니다. 이 스크립트는 파일을 검색하여 이 공격에 사용된 매개변수를 찾습니다. 해당 매개변수를 찾은 후에는 시스템에서 삭제할 수 있습니다. 이 스크립트는 Microsoft 를 통해 에 액세스할 수 있습니다.
이 취약점으로부터 보호하는 방법
이 취약점으로부터 보호하는 최적의 방법은 모든 Outlook 소프트웨어를 업데이트하는 것입니다. Microsoft는 2023년 3월 14일에 패치를 릴리스했으며, 패치가 설치되면 이 공격 시도는 효과가 없습니다.
모든 기업에서 소프트웨어 패치를 우선적으로 적용해야 하지만, 어떤 이유로 패치를 적용할 수 없는 경우 이 공격이 성공하지 못하도록 방지할 수 있는 다른 방법이 있습니다. 여기에는 다음이 포함됩니다:
⭐ TCP 445 아웃바운드 차단. 이 공격은 포트 445를 사용하며 해당 포트를 통해 통신이 불가능하면 공격은 실패합니다. 다른 목적으로 445 포트가 필요한 경우 해당 포트를 통한 모든 트래픽을 모니터링하고 외부 IP 주소로 연결되는 모든 트래픽을 차단해야 합니다.
⭐ 모든 사용자를 보호된 사용자 보안 그룹에 추가합니다. 이 그룹에 속한 사용자는 NTLM을 인증 수단으로 사용할 수 없습니다. 이 경우 NTLM에 의존하는 모든 애플리케이션에 방해가 될 수 있다는 점에 유의하세요.
⭐ 모든 사용자에게 Outlook에서 미리 알림 표시 설정을 비활성화하도록 요청하세요. 이렇게 하면 공격자가 NTLM 자격 증명에 액세스하는 것을 방지할 수 있습니다.
⭐ 모든 사용자에게 WebClient 서비스를 비활성화하도록 요청하세요. 이렇게 하면 인트라넷을 포함한 모든 WebDev 연결이 차단되므로 반드시 적합한 옵션은 아니라는 점에 유의하세요.
CVE-2023-23397 취약점에 대한 패치 필요
CVE-2023-23397 취약점은 Outlook의 인기와 공격자에게 제공하는 액세스 권한의 양으로 인해 중요합니다. 공격에 성공하면 사이버 공격자는 피해자의 계정에 액세스하여 데이터를 훔치거나 암호화하는 데 사용할 수 있습니다.
이 공격으로부터 적절하게 보호하는 유일한 방법은 Microsoft가 제공한 필요한 패치로 Outlook 소프트웨어를 업데이트하는 것입니다. 그렇게 하지 않는 모든 기업은 해커의 매력적인 표적이 됩니다.