Microsoft는 월별 보안 업데이트의 일환으로 총 143개의 보안 결함을 해결하는 패치를 출시했는데, 그 중 두 가지가 실제로 악용되고 있습니다.
143개 결함 중 5개는 심각도 등급이 매겨지고, 136개는 중요 등급이 매겨지고, 4개는 심각도 등급이 중간 등급입니다. 이 수정 사항은 지난달에 Chromium 기반 Edge 브라우저에서 해결된 33개 취약점에 추가됩니다.
악용되고 있는 두 가지 보안 단점은 다음과 같습니다.
- CVE-2024-38080 (CVSS 점수: 7.8) – Windows Hyper-V 권한 상승 취약점
- CVE-2024-38112 (CVSS 점수: 7.5) – Windows MSHTML 플랫폼 스푸핑 취약점
Microsoft는 CVE-2024-38112에 대해 “이 취약점을 성공적으로 악용하려면 공격자가 악용하기 전에 대상 환경을 준비하기 위한 추가 조치를 취해야 합니다.”라고 밝혔습니다. “공격자는 피해자에게 악성 파일을 보내야 하며 피해자는 이를 실행해야 합니다.”
2024년 5월에 이 결함을 발견하고 보고한 것으로 평가받는 Check Point 보안 연구원 하이페이 리(Haifei Li)는 위협 행위자들이 특별히 제작된 Windows 인터넷 바로가기 파일(.URL)을 활용하고 있다고 밝혔습니다. 이 파일을 클릭하면 피해자가 오래된 Internet Explorer(IE) 브라우저를 호출하여 악성 URL로 리디렉션됩니다.
“IE에서 또 다른 속임수는 악성 .HTA 확장자 이름을 숨기는 데 사용됩니다.” 리는 설명했습니다. “Windows에서 최신의 훨씬 더 안전한 Chrome/Edge 브라우저 대신 IE로 URL을 열면 공격자는 피해자의 컴퓨터를 악용하는 데 상당한 이점을 얻었지만, 컴퓨터는 최신 Windows 10/11 운영 체제를 실행하고 있습니다.”
“CVE-2024-38080은 Windows Hyper-V의 권한 상승 결함입니다.” Tenable의 수석 연구 엔지니어인 Satnam Narang이 말했습니다. “로컬의 인증된 공격자는 이 취약점을 악용하여 대상 시스템의 초기 침해 후 권한을 SYSTEM 수준으로 상승시킬 수 있습니다.”
CVE-2024-38080의 남용과 관련된 정확한 세부 사항은 현재로선 알려지지 않았지만, 나랑은 이것이 2022년 이후로 실제로 악용된 44개의 Hyper-V 결함 중 첫 번째라고 지적했습니다.
Microsoft에서 패치한 다른 두 가지 보안 결함은 출시 당시 공개적으로 알려진 것으로 나열되었습니다. 여기에는 FetchBench(CVE-2024-37985, CVSS 점수: 5.9)라는 사이드 채널 공격이 포함되며, 이를 통해 공격자는 Arm 기반 시스템에서 실행되는 권한이 있는 프로세스의 힙 메모리를 볼 수 있습니다.
문제의 두 번째 공개된 취약점은 CVE-2024-35264(CVSS 점수: 8.1)로, .NET 및 Visual Studio에 영향을 미치는 원격 코드 실행 버그입니다.
“공격자는 요청 본문이 처리되는 동안 http/3 스트림을 닫아 경쟁 조건을 유발함으로써 이를 악용할 수 있습니다.” Redmond는 자문에서 이렇게 말했습니다. “이로 인해 원격 코드 실행이 발생할 수 있습니다.”
또한 Patch Tuesday 업데이트의 일부로 해결된 항목으로는 SQL Server Native Client OLE DB 공급자에 영향을 미치는 원격 코드 실행 취약점 37개, 보안 부팅 보안 기능 우회 취약점 20개, PowerShell 권한 상승 버그 3개, RADIUS 프로토콜의 스푸핑 취약점(CVE-2024-3596, BlastRADIUS라고도 함)이 있습니다.
Rapid7의 수석 제품 관리자 Greg Wiseman은 “(SQL Server 결함은) 특히 OLE DB 공급자에 영향을 미치므로 SQL Server 인스턴스를 업데이트해야 할 뿐만 아니라 취약한 버전의 연결 드라이버를 실행하는 클라이언트 코드도 해결해야 합니다.”라고 말했습니다.
“예를 들어, 공격자는 소셜 엔지니어링 전술을 사용하여 인증된 사용자를 속여 악성 데이터를 반환하도록 구성된 SQL Server 데이터베이스에 연결하려고 시도하게 하여 클라이언트에서 임의의 코드 실행을 허용할 수 있습니다.”
긴 패치 목록을 마무리하는 것은 CVE-2024-38021(CVSS 점수: 8.8)입니다. 이는 Microsoft Office의 원격 코드 실행 취약점입니다. 이 취약점을 성공적으로 악용하면 공격자가 읽기, 쓰기, 삭제 기능을 포함한 높은 권한을 얻을 수 있습니다.
2024년 4월 말에 마이크로소프트에 해당 결함을 보고한 모피섹은 해당 취약점은 인증이 필요 없으며, 클릭이 전혀 필요 없는 특성으로 인해 심각한 위험을 초래할 수 있다고 밝혔습니다.
“공격자는 이 취약점을 악용하여 허가받지 않은 액세스를 얻고, 임의의 코드를 실행하고, 사용자 상호 작용 없이 상당한 피해를 입힐 수 있습니다.” Michael Gorelik이 말했습니다. “인증 요구 사항이 없기 때문에 특히 위험합니다. 광범위한 악용의 문을 열기 때문입니다.”
Microsoft는 지난달 말 투명성을 개선하고자 앞으로 클라우드 관련 보안 취약점에 대한 CVE 식별자를 발급할 것이라고 발표한 데 이어 이러한 수정 사항이 나왔습니다.
다른 공급업체의 소프트웨어 패치
Microsoft 외에도 지난 몇 주 동안 다른 공급업체에서도 다음을 포함한 여러 취약점을 수정하기 위한 보안 업데이트가 출시되었습니다.