보안동향

최신 보안정보를 신속하게 전해드립니다.

[보안이슈] NTLM 자격 증명 탈취에 악용되고 있는 Microsoft Outlook 권한상승 취약점 (CVE-2023-23397) 주의

2023-03-20

□ 개요

우크라이나 사이버 보안 당국(CERT-UA)이 러시아 정보총국(GRU) 해킹 그룹이 악용한 것으로 추정되는 치명적인 취약점(CVE-2023-23397, CVSS 9.8)을 공개한 후, Microsoft는 3월 14일 MS Outlook 취약점 패치를 발표했다

 

해당 취약점은 Microsoft Outlook의 EoP(권한 상승) 취약점으로, 사용자의 상호작용 없이 메일을 읽지 않아도 NTLM(New Technology LAN Manager) 자격 증명 도용을 허용한다.

 

MS 3월 정기 보안 업데이트 이전의 모든 Windows용 Microsoft Outlook 버전에 영향을 미치며, 보안을 유지하려면 모든 고객이 Windows용 Microsoft Outlook을 업데이트해야 한다.

 

□ CVE-2023-23397

CVE-2023-23397은 UNC(Universal Naming Convention) 경로와 함께 MAPI(Message Application Program Interface)  속성을 포함하여 사용자에게 메시지를 보낼 때 발생한다. 게다가 사용자가 메일을 열지 않아도 발생하기 때문에 더욱 위험하다.

 

사용자가 악성 메시지를 받으면 UNC 경로를 통해 공격자의 원격 SMB 서버로 연결되며, 사용자의 NTLM 협상 메시지가 자동으로 전송된다. 공격자는 탈취한 NTLM 해시를 이용해 NTLM 릴레이 공격으로 NTLM 인증을 지원하는 다른 시스템에 인증할 수 있게 된다.

 

□ 악용 사례

이 보안 취약점은 CERT-UA, Microsoft Incident Response, Microsoft Threat Intelligence에 의해 발견되었다. 2022년 4월 중순에서 12월까지, 약 15개의 유럽 정부, 군대, 에너지, 운송 조직이 CVE-2023-23397 익스플로잇의 공격 대상이 되었다. 

 

러시아 정보총국(GRU)과 연계된 해킹 그룹(APT28, Fancy Bear, Sednit, Sofacy, TRONTIUM)은 피해 시스템이 공격자가 제어하는 SMB 공유에 강제 인증하도록 NTML 협상 요청을 통해 NTLM 해시를 탈취하기 위해 악의적인 Outlook 메모와 작업을 전송했다.

 

Deep Instinct Threat Lab은 CERT-UA에서 보고한 공격을 포함하여 CVE-2023-23397 취약점을 악용하는 추가 샘플을 발견하였다. 샘플은 5개로 그룹화되며 [그림 1]은 공격 타임라인이다. 

[그림 1] CVE-2023-23397을 활용한 공격 타임라인(출처: DeepInstinct)



Microsoft는 이 공격을 러시아에 기반을 둔 공격자의 소행으로 보았다. 이에 대해 Deep Instinct Threat Lab는 루마니아, 폴란드, 우크라이나 공격의 경우 러시아의 이익에 부합하지만, 요르단과 터키에 대한 공격은 이란(러시와와 사이버 협력 협정 체결)과 관련이 있을 것이라 언급하였다.

 

□ 영향을 받는 제품

- MS 3월 정기 보안 업데이트 이전의 모든 Windows용 Microsoft Outlook 버전

  (Android, iOS 또는 macOS용 Outlook는 영향을 받지 않음)

  (온라인 서비스인 웹용 Outlook, Microsoft 365는 NTLM 인증을 지원하지 않으므로 영향을 받지 않음)

 

□ 완화 방안

(1) 아래 보안 업데이트 가이드를 참고하여 취약점이 패치된 버전으로 업데이트한다.

    https://msrc.microsoft.com/update-guide/ko-kr

 

(2) 사용자를 보호된 사용자 보안 그룹(Protected Users Security Group)에 추가하여 NTLM을 인증 메커니즘으로 사용하지 못하도록 한다.

    ※ NTLM을 이용하는 타 애플리케이션에 영향을 미칠 수 있음

 

(3) TCP 포트 445에 대한 아웃바운드 SMB 트래픽을 차단한다.

 

□ MS PowerShell 점검 스크립트

Microsoft가 공유한 PowerShell 스크립트를 이용하면, Exchange 서버의 메시징 항목(E-Mail, Calendar, Task)을 스캔하여 "PidLidReminderFileParameter" 속성에 취약점 공격에 악용된 UNC 경로가 포함되어 있는지 점검할 수 있다. 

https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

 

관리자는 스크립트를 실행하여 문제가 되는 속성이 있는 항목을 찾아 제거하거나 영구적으로 삭제하는 조치를 취할 수 있다.

[그림 2] PidLidReminderFileParameter 속성을 제거하는 PowerShell 스크립트



□ Yara Rule & Sigma Rule

Delivr.to는 localhost에 대한 취약점 POC를 공유하고 악성 캘린더 초대를 식별하기 위한 샘플 YARA Rule을 공유하였고, Nextron Systems는 Sigma Rule을 개발하여 공유했다.

 

(1) Yara Rule

https://github.com/delivr-to/detections/blob/main/yara-rules/msg_cve_2023_23397.yar

 

(2) Sigma Rule

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_rundll32_webdav_client_susp_execution.yml

 

□ PoC

https://github.com/api0cradle/CVE-2023-23397-POC-Powershell

 

 

□ IoC

24.142.165[.]2

101.255.119[.]42

113.160.234[.]229

168.205.200[.]55

181.209.99[.]204

185.132.17[.]160

213.32.252[.]221

 

□ 참고 자료

[1] MSRC(Microsoft Security Response Center), 보안 업데이트 가이드

https://msrc.microsoft.com/update-guide/ko-kr

[2] Deep Instinct Threat Lab,  CVE-2023-23397: Exploitations in the Wild – What You Need to Know

https://www.deepinstinct.com/blog/cve-2023-23397-exploitations-in-the-wild-what-you-need-to-know

[3] Cyble, Microsoft Outlook Zero Day Vulnerability CVE-2023-23397 Actively Exploited In The Wild

https://blog.cyble.com/2023/03/16/microsoft-outlook-zero-day-vulnerability-cve-2023-23397-actively-exploited-in-the-wild/

[4] MDSec, Exploiting CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

[5] CVE-2023-23397 PowerShell 점검 스크립트

https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/



보안관제센터 MIR Team

목록