[보안뉴스 / 3.19.] MS 아웃룩 제로데이 취약점 패치 발표… 메일 읽지 않아도 탈취 가능

MS 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치
러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정

[보안뉴스 원병철 기자] 러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정되는 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치가 발표됐다. 마이크로소프트는 보안을 유지하려면 모든 고객이 ‘윈도우용 마이크로소프트 아웃룩’을 업데이트하라고 권고했다.

[이미지=utoimage]

이번에 공개된 제로데이 취약점은 모든 버전의 아웃룩이며, 다행이 윈도우를 제외한 다른 운영체제, 즉 안드로이드, iOS, Mac, 웹용 아웃룩 및 기타 M365 서비스와 같은 다른 버전의 아웃룩은 영향을 받지 않는다.

CVE-2023-23397, 사용자 상호 작용이 필요 없는 아웃룩 제로데이 취약점으로 개념증명 탈취에 이미 널리 활용
마이크로소프트에 따르면, CVR-2023-2397은 공격자가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로와 함께 MAPI 속성이 포함된 메시지를 보낼 때 트리거되는 아웃룩의 치명적인 EoP(Elevation of Privilege, 권한상승) 취약점이다. 게다가 사용자의 상호작용, 즉 메일을 열지 않아도 발생하기 때문에 더 위험하다. 공격자는 원격 SMB 서버에 대한 연결을 사용해 사용자의 NTLM 협상 메시지를 보내며, 이후 공격자는 NTLM 인증을 지원하는 다른 시스템에 대한 인증을 위해 이를 릴레이 할 수 있다.

특히, CVE-2023-23397은 사용자 상호 작용이 필요 없는 아웃룩 제로데이 취약점으로 개념증명(Proof-of-concepts; POC) 탈취에 이미 널리 활용됐으며, 보안기업 맨디언트의 위협 인텔리전스는 공격에 필요한 권한이나 사용자 상호작용이 없는 권한 상승 가능성으로 인해 이를 고위험 취약점으로 간주했다. 탈취에 성공하면 공격자는 여러 서비스에서 인증과 시스템 침투가 가능하다. 해당 제로데이 취약점은 스파이 활동이나 금전적 목적의 공격자에게 즉시 활용될 가능성이 높은 상황이다.

맨디언트는 이번 제로데이 취약점이 지난 1년 동안 조직과 중요 인프라를 대상으로 활용됐다고 추정했다. 이러한 타깃팅으로 해당 공격 그룹은 우크라이나 안팎으로 파괴적인 공격뿐만 아니라 전략적 정보 수집을 진행할 수 있다고 강조했다.

러시아 GRU 연계 그룹인 ‘APT28’이 배후인 제로데이 취약점 초기 탈취 공격을 추적하기 위해 해당 그룹을 UNC4697으로 분류했으며, APT28는 우크라이나 내외에서 정기적으로 사이버 스파이와 정보작전(Information Operation: IO)을 수행하며 파괴적인 공격을 담당하는 러시아 해킹 그룹 샌드웜(Sandworm)과 자주 협력해왔다고 소개했다. 아울러 이 취약점은 2022년 4월부터 폴란드, 우크라이나, 루마니아, 튀르키예에 위치한 정부, 물류, 석유/가스, 방위 및 운송 산업을 타깃으로 사용됐다고 덧붙였다.

CVE-2023-23397 취약점 공격 발생순서
– 공격자가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로를 포함하는 확장 MAPI 속성을 사용해 악의적인 전자 메일을 특수하게 조작함
– 전자 메일이 수신되면 SMB 공유가 연결이 열리고 사용자의 NTLM 협상 메시지가 전송됨. 이를 통해 공격자는 사용자의 Net-NTLMv2 해시를 검색함
– 공격자는 NTLM 해시를 전달해 피해 조직 환경의 다른 시스템에 인증하는, 일반적으로 ‘PtH(Pass the Hash)’라고 부르는 공격을 착수함
– 피해 계정이 전자 메일을 확인하기 전 아웃룩이 이메일을 수신하고 처리할 때 탈취가 발생할 수 있도록 SMB 공유가 연결됨

맨디언트는 범죄자 및 사이버 스파이 공격자를 포함한 여러 국가 차원 및 금전적 동기의 공격자가 CVE-2023-23397 취약점을 광범위하고 신속하게 악용할 것으로 예상했으며, 단기적으로 이러한 공격자들은 아직 패치가 진행되지 않은 시스템에서 공격의 발판을 마련하기 위해 빠르게 움직일 것으로 추측된다고 강조했다.

전략적 목적을 위한 정보 수집 외에도, 맨디언트는 이 제로데이 취약점이 잠재적인 파괴적 사이버 공격을 위해 우크라이나 내외부의 중요한 인프라를 목표로 하는 데 사용됐다고 추측했다. 해당 제로데이 취약점은 클라우드 기반 전자 메일 솔루션에는 영향을 주지 않는다.

이번 마이크로소프트 제로데이 취약점 발표와 관련해 구글 클라우드 맨디언트 위협 인텔리전스 분석 총괄 존 헐트퀴스트(John Hultquist)는 “이는 공격적이고 파괴적인 사이버 공격 대상이 우크라이나에 국한되지 않는다는 증거이며 보안팀이 모든 것을 탐지할 수는 없다는 사실을 상기시킨다. 공격에 대한 준비를 포착한다고 해서 공격이 임박했다는 것을 암시하지는 않으며 지정학적 상황으로 인해 시간차가 있을 수 있다. 이는 또한 보안팀이 분쟁에서 모든 진행 상황을 파악할 수 없다는 것을 나타낸다. 스파이로 활동하는 이 공격자들은 보안팀을 성공적으로 피해 공격을 진행한 전력이 다수 있기 때문이다. 이번 공격은 선전 이벤트가 될 것이다. 해당 제로데이 취약점은 단기적으로 큰 수익을 챙기려는 국가 차원의 공격자와 범죄자 모두에게 훌륭한 툴이다. 패치되지 않은 시스템을 찾는 공격자와 이를 막으려는 조직의 경주는 이미 시작됐다”고 설명했다.

한편, 한국인터넷진흥원(KISA)도 보안공지를 통해 CVE-2023-23397의 보안 업데이트를 권고했다. KISA는 CVE-2023-23397이 마이크로소프트 아웃룩에서 SMB(TCP 445) 공유와 관련된 메시지 전송시 발생하는 권한상승 취약점이라면서, 마이크로소프트 보안업데이트 페이지를 참고해 사용제품에 맞는 최신 버전으로 업데이트를 적용할 것을 권고했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>