Microsoft에서 추가 정보를 업데이트합니다.
Microsoft는 원격 공격자에게 NTLM 해시를 노출시킬 수 있는 Office 2016에 영향을 미치는 매우 심각한 취약점을 공개했습니다.
CVE-2024-38200으로 추적된 이 보안 결함은 허가되지 않은 공격자가 보호된 정보에 액세스할 수 있도록 하는 정보 공개 취약점으로 인해 발생합니다.
이 문제는 Office 2016, Office 2019, Office LTSC 2021, Microsoft 365 Apps for Enterprise를 포함한 여러 32비트 및 64비트 Office 버전에 영향을 미칩니다.
Microsoft의 악용 가능성 평가에 따르면 CVE-2024-38200의 악용 가능성은 낮지만, MITRE는 이러한 유형의 취약점이 악용될 가능성을 매우 높다고 평가했습니다.
Microsoft의 권고문에는 “웹 기반 공격 시나리오에서 공격자는 취약성을 악용하도록 설계된 특수하게 제작된 파일이 포함된 웹사이트를 호스팅하거나(또는 사용자가 제공한 콘텐츠를 허용하거나 호스팅하는 손상된 웹사이트를 활용)할 수 있습니다.”라고 설명되어 있습니다.
“그러나 공격자는 사용자가 웹사이트를 방문하도록 강제할 방법이 없습니다. 대신 공격자는 일반적으로 이메일이나 인스턴트 메신저 메시지의 유인물을 통해 사용자가 링크를 클릭하도록 설득한 다음, 사용자가 특별히 제작된 파일을 열도록 설득해야 합니다.”
해당 회사는 이 버그를 해결하기 위해 보안 업데이트를 개발하고 있지만 아직 출시일을 발표하지 않았습니다.
이 기사를 게시한 이후 Microsoft는 7/30/2024에 Feature Flighting을 통해 수정 사항을 릴리스했다고 언급하면서 해당 권고 사항의 CVE-2024-38200 결함에 대한 추가 정보를 공유했습니다.
“아니요, 2024년 7월 30일에 Feature Flighting을 통해 활성화한 이 문제에 대한 대체 수정 사항을 확인했습니다.” 업데이트된 CVE-2024-38200 공지에 적혀 있습니다.
“고객은 이미 모든 지원 버전의 Microsoft Office와 Microsoft 365에서 보호받고 있습니다. 고객은 최종 버전의 수정 사항을 위해 2024년 8월 13일 업데이트로 업데이트해야 합니다.”
이 권고문에서는 또한 원격 서버로의 아웃바운드 NTLM 트래픽을 차단하면 이 결함을 완화할 수 있다고 설명합니다.
Microsoft에서는 다음 세 가지 방법을 사용하여 아웃바운드 NTLM 트래픽을 차단할 수 있다고 말합니다.
Microsoft는 이러한 완화책을 사용하면 NTLM 인증에 의존하는 원격 서버에 대한 합법적인 액세스가 차단될 수 있다고 경고합니다.
Microsoft는 이 취약점에 대한 자세한 내용을 공개하지 않았지만, 이 지침에 따르면 이 취약점을 악용해 공격자 서버의 SMB 공유와 같은 아웃바운드 NTLM 연결을 강제로 실행할 수 있습니다.
이런 일이 발생하면 Windows는 해시된 비밀번호를 포함한 사용자의 NTLM 해시를 전송하는데, 공격자는 이를 훔칠 수 있습니다.
과거에도 여러 번 입증되었듯이, 이러한 해시는 해독되어 위협 행위자가 로그인 이름과 일반 텍스트 비밀번호에 접근할 수 있게 됩니다.
NTLM 해시는 이전에 ShadowCoerce, DFSCoerce, PetitPotam 및 RemotePotato0 공격에서 확인한 바와 같이 NTLM 릴레이 공격에도 사용되어 네트워크의 다른 리소스에 액세스할 수도 있습니다.
더 자세한 내용은 Defcon에서 공유됩니다.
Microsoft는 이러한 결함을 PrivSec Consulting 보안 컨설턴트인 Jim Rush와 Synack Red Team 멤버인 Metin Yunus Kandemir의 발견으로 돌렸습니다.
PrivSec의 전무이사인 Peter Jakowetz는 BleepingComputer에 Rush가 다가오는 Defcon의 “NTLM – The last ride” 토크에서 이 취약점에 대한 자세한 정보를 공개할 것이라고 말했습니다.
Rush는 “Microsoft에 공개한 여러 가지 새로운 버그(기존 CVE에 대한 수정을 우회하는 것 포함)에 대한 심층 분석, 여러 버그 클래스의 기술을 결합하여 예상치 못한 발견을 이끌어낸 흥미롭고 유용한 기술, 그리고 완전히 조작된 버그에 대한 심층 분석이 있을 것입니다.”라고 설명했습니다.
“또한 우리는 합리적인 라이브러리나 애플리케이션에 존재해서는 안 될 몇 가지 기본값과 Microsoft NTLM 관련 보안 컨트롤의 몇 가지 눈에 띄는 차이점도 발견할 것입니다.”
Microsoft는 최신 Windows 시스템의 패치를 해제하고 기존의 취약점을 다시 도입하는 데 악용될 수 있는 제로데이 취약점을 패치하는 작업도 진행하고 있습니다.
해당 회사는 이번 주 초에 2018년부터 악용되고 있는 Windows Smart App Control과 SmartScreen 우회 취약점에 대한 패치를 고려하고 있다고 밝혔습니다.
2024년 8월 10일 업데이트: Microsoft에서 결함을 완화하는 방법에 대한 추가 정보를 추가했습니다.
