23년 3월 14일 Microsoft에서 약 80개의 보안 취약점에 대한 패치를 발표하였습니다.
그 중 CVE-2023-23997 취약점은 Mircosoft Outlook에서 발생하며, 권한 상승이 가능한 취약점 입니다.
해당 취약점은 공격자가 UNC(Universal Naming Convention) 경로를 포함한 확장된 MAPI(Message Application Program Interface) 속성을 사용하여 피해자에게 메시지를 보낼 때 발생합니다.
- UNC(Universal Naming Convention)
- 컴퓨터 내의 공유 파일이 접근 시 저장 장치를 명시하지 않고 파일을 확인할 수 있는 방법
- 예시 : \\servername\sharename\path\filename
- MAPI(Message Application Program Interface)
- 프로그램이 전자 메일을 인식할 수 있도록 도와주는 Microsoft Windows용 API
공격자는 메시지를 받은 사용자의 NTLM(New Technology LAN Manager) 인증 메시지를 획득할 수 있으며, 다른 시스템의 인증에 악용할 수 있습니다.
- NTLM(New Technology LAN Manager)
- Windows OS에서 사용되는 인증 프로토콜로 LAN Manger(LM) 프로토콜 대체함
- Domain Controller와 Client 간의 상호 인증을 위해 설계됨
- 인증 단계는 3단계로 이뤄짐
- 인증 요청
- 클라이언트는 서버에 연결하여 인증 요청을 보냄
- 도메인 컨트롤러와의 인증
- 서버는 도메인 컨트롤러에게 클라이언트의 인증 요청 전달 (이때 공격자의 서버에서 인증 도용 가능)
- 도메인 컨트롤러는 클라이언트의 유효성 확인
- 유효성 확인 시 NTLM Challenge / Response 메커니즘 사용
- 인증 완료
- 클라이언트가 도메인 컨트롤러로부터 전달 받은 인증 결과를 서버에 전달
- 서버는 해당 클라이언트가 유효한 사용자 인지 확인 후 서비스 제공
- 인증 요청
만약 일반 사용자가 해당 취약점이 포함된 메일을 수신받을 경우, 아래와 같은 시나리오가 가능할 것으로 보입니다.
(단순히 내용을 보고 생각해본 시나리오로, 실제와는 다를 수 있음)
- 악성 코드가 포함된 메일 수신 (MAPI의 PidLidReminderFileParameter 속성이 포함된 Message)
- UNC 경로를 통하여 SMB(TCP 455) 연결
- SMS 연결 시 자동으로 사용자의 NTLM(New Technology LAN Manager) 협상 메시지 자동 전송
- 전송된 NTLM 인증을 해당 인증을 지원하는 다른 시스템의 인증에 악용할 수 있음 (Office 365는 NTLM 사용 X)
NTLM은 아래와 같이 여러 서비스에서 사용할 수 있어 취약점의 위험도가 매우 높을 것으로 보입니다.
- SMB (Server Message Block)
- RDP (Remote Desktop Protocol)
- IIS (Internet Information Service)
- LPD (LIne Printer Daemon)
- SQL Server
- LDAP (Lightweight Directory Access Protocol)
참고로 해당 취약점은 이미 러시아와 우크라이나의 전쟁에서 사용된 것으로 확인되었으며, 이에 따라 Microsoft에서는 실제 피해 여부를 확인할 수 있는 방법을 제공하였습니다.
참고 문서
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
CVE-2023-23397 script - Microsoft - CSS-Exchange
CVE-2023-23397 script Download the latest release: CVE-2023-23397.ps1 CVE-2023-23397.ps1 is a script that checks Exchange messaging items (mail, calendar and tasks) to see whether a property is populated with a UNC path. If required, admins can use this sc
microsoft.github.io
GitHub - sqrtZeroKnowledge/CVE-2023-23397_EXPLOIT_0DAY: Exploit for the CVE-2023-23397
Exploit for the CVE-2023-23397. Contribute to sqrtZeroKnowledge/CVE-2023-23397_EXPLOIT_0DAY development by creating an account on GitHub.
github.com
Microsoft Outlook Zero Day Vulnerability CVE-2023-23397 Actively Exploited In The Wild
Cyble Research & Intelligence Labs analyzes a Microsoft Outlook Zero-day vulnerability being actively exploited in the wild.
blog.cyble.com
'Hack > Network' 카테고리의 다른 글
| 이메일 인증 프로토콜(SPF, DKIM, DMARC)이란? (0) | 2023.11.26 |
|---|---|
| [VUE JS] source map 파일을 통한 Frontend 소스 코드 획득 (0) | 2023.02.21 |
| [CVE-2022-3786] OpenSSL punycode Decoding Vulnerability (Stack Buffer over Flow) (0) | 2022.11.03 |
| [CVE-2022-3602] OpenSSL punycode Decoding Vulnerability (off-by-one) (0) | 2022.11.02 |
| 11월 1일 Releases 될 OpenSSL 취약점 정보 (0) | 2022.10.30 |
댓글