보안 연구원들은 윈도우용 마이크로소프트 아웃룩의 심각한 취약점(CVE-2023-23397)을 악용하기 위한 기술적 세부 정보를 공유했습니다. 이 취약점은 단순히 이메일을 수신함으로써 해쉬된 비밀번호를 원격으로 도용할 수 있는 것입니다.
마이크로소프트는 어제 이 보안 취약점을 위한 패치를 출시했지만, 적어도 2022년 4월 중순 이후로 NTLM 릴레이 공격에서 제로데이 취약점으로 악용되고 있습니다.
이 문제는 윈도우에서 모든 버전의 마이크로소프트 아웃룩에 영향을 미치는 9.8 심각도 등급의 권한 상승 취약점입니다.
공격자는 단순히 대상에게 악성 이메일을 보내면 NTLM 자격 증명을 도용할 수 있습니다. 사용자의 상호 작용이 필요하지 않으며, 아웃룩이 열려 있고 시스템에서 알림이 트리거될 때 악용이 발생합니다.
Windows 새 기술 LAN Manager (NTLM)은 해시된 로그인 자격 증명을 사용하여 Windows 도메인에 로그인하는 인증 방법입니다.
NTLM 인증에는 알려진 위험이 있지만, 호환성을 위해 새로운 시스템에서 여전히 사용됩니다.
서버는 공유 리소스에 액세스하려는 클라이언트에서 받은 비밀번호 해시와 함께 작동합니다. 이러한 해시가 도난당하면 네트워크 인증에 사용될 수 있습니다.
마이크로소프트는 "악의적인 주체가 제어하는 서버의 SMB(TCP 445) 공유에 대한 UNC 경로를 포함한 확장 MAPI 속성 메시지를 보내면" CVE-2023-23397을 이용하여 공격자가 NTLM 해시를 획득할 수 있다고 설명했습니다.
“The connection to the remote SMB server sends the user’s NTLM negotiation message, which the attacker can then relay for authentication against other systems that support NTLM authentication” - Microsoft
그러나 이 문제를 악용하려면, 보안 컨설팅 회사 MDSec의 연구원들이 마이크로소프트가 패치를 배포한 직후에 기술적인 세부 정보를 제공해야합니다.
MDSec의 레드팀 구성원인 도미닉 첼(Dominic Chell)은 CVE-2023-23397을 사용하여 어떻게 위협 요소가 버그를 이용할 수 있는지 쉽게 파악할 수 있었습니다. 이는 마이크로소프트가 Exchange 메시징 항목에서 CVE-2023-23397의 악용 증거를 확인하는 스크립트를 검토했을 때 발견되었습니다.
https://hashwood.tistory.com/50
https://hashwood.tistory.com/49
마이크로소프트 Outlook의 권한 상승 취약점(CVE-2023-23397) 보안 패치 요망
면책 조항 이 블로그에는 민감한 정보가 포함되어 있습니다. 그러나 이 정보는 일부 공개적으로 알려져 있기 때문에 모든 정보를 삭제하지 않기로 결정했습니다. 공격의 간단성과 사용자 상호
www.hashwood.org
'테크 튜토리얼 & 팁' 카테고리의 다른 글
| 가성비 최강 NVIDIA RTX 3050 게이밍 노트북으로 TensorFlow GPU 가속 시작하기: CUDA와 cuDNN 설치 (73) | 2024.02.28 |
|---|---|
| Ubuntu에서 시작하는 PyQt5 개발: Qt Designer 설치 가이드 (61) | 2024.02.16 |
| 금융감독원의 개인정보노출자 사고 예방시스템: 무료로 보호받는 방법 (1) | 2024.01.30 |
| 메일함을 열지 않아도 감염되는 아웃룩 취약점 발표 (0) | 2023.03.17 |
| 마이크로소프트 Outlook의 권한 상승 취약점(CVE-2023-23397) 보안 패치 요망 (0) | 2023.03.17 |
