3월에 Microsoft는 범죄자가 피해자의 Windows 자격 증명을 유출하기 위해 악용한 Outlook의 흥미로운 취약점을 수정했습니다. 이번 주 IT 대기업은 월간 화요일 업데이트의 일부로 해당 수정 사항을 출시했습니다.

원래 오류를 상기시키기 위해 다음과 같이 추적되었습니다. CVE-2023-23397: 사용자 지정 알림음으로 누군가에게 미리 알림을 이메일로 보낼 수 있었습니다. 이 사용자 정의 오디오는 이메일 내의 URL 경로로 지정할 수 있습니다.

엉뚱한 사람이 해당 오디오 경로를 원격 SMB 서버로 설정하여 메일을 신중하게 만든 경우 Outlook이 메시지를 가져와서 처리할 때 자동으로 파일 서버 경로를 추적하여 Net-NTLMv2 해시를 시도하는 사용자에게 전달합니다. 로그인. 이렇게 하면 잠재적으로 자격 증명을 사용하여 해당 사용자와 같은 다른 리소스에 액세스할 수 있는 외부 당사자에게 해시가 효과적으로 유출되어 해커가 내부 네트워크 시스템을 탐색하고 문서를 훔치고 피해자를 가장하는 등의 작업을 수행할 수 있습니다.

두 달 전의 패치는 Outlook이 Windows 기능을 사용하도록 만들었습니다. MapUrlToZone 알림 사운드 트랙이 실제로 가리키는 위치를 확인하기 위해 온라인 상태인 경우 무시되고 기본 사운드가 재생됩니다. 이것은 클라이언트가 원격 서버에 연결하고 해시를 유출하는 것을 중지했어야 합니다.

MapUrlToZone 기반 보호를 우회할 수 있는 것으로 밝혀져 Microsoft는 3월과 5월에 이에 대한 수정 사항을 지원했습니다. 원래 버그는 야생에서 악용되었으므로 패치가 적용되었을 때 모든 사람의 관심을 끌었습니다. 이러한 관심은 개혁이 불완전했음을 드러내는 데 도움이 되었습니다.

불완전한 상태로 남겨두면 원래 버그를 악용하는 사람은 누구나 다른 취약점을 사용하여 원래 패치를 우회할 수 있습니다. 명확하게 말하면 CVE-2023-23397 수정이 작동하지 않은 것이 아닙니다. 작동했습니다. 사용자 지정 오디오 파일 구멍을 완전히 닫는 데 충분하지 않았습니다.

이 취약점은 새로운 취약점 및 남용으로 이어지는 패치 확인의 또 다른 예입니다. 그는 말했다 MapUrlToZone 오버플로를 발견하고 보고한 Akamai의 Ben Parnia.

특히 이 취약점의 경우 단일 문자를 추가하면 중요한 패치를 우회할 수 있습니다.

결정적으로, 첫 번째 버그는 Outlook에 있었지만 MapUrlToZone에 대한 이 두 번째 문제는 Microsoft가 Windows API에서 이 기능을 구현한 데 있습니다. Parnia는 이것이 두 번째 패치가 Outlook용이 아니라 Windows의 기본 MSHTML 플랫폼용이며 운영 체제의 모든 버전이 이 버그의 영향을 받는다는 것을 의미한다고 썼습니다. 문제는 악의적으로 생성된 경로가 MapUrlToZone에 전달되어 응용 프로그램이 경로를 열 때 실제 외부 인터넷에 대한 경로가 아닌 것으로 함수가 판단할 수 있다는 것입니다.

Barnea에 따르면 이메일에는 PidLidReminderFileParameter를 사용하여 확장된 MAPI 속성을 사용하여 경로로 지정된 사용자 지정 알림 소리를 포함하는 미리 알림이 포함될 수 있습니다.

“공격자는 클라이언트가 모든 SMB 서버에서 오디오 파일을 검색하도록 하는 UNC 경로를 지정할 수 있습니다.”라고 그는 설명했습니다. 원격 SMB 서버 연결의 일부로 Net-NTLMv2 해시가 협상 메시지로 전송됩니다.

이 결함은 10점 만점에 9.8점의 CVSS 심각도 등급을 받을 정도로 나빴으며 수정 사항이 3월에 릴리스될 때까지 약 1년 동안 러시아로 향하는 승무원에 의해 악용되었습니다. 사이버 갱단은 유럽 정부 조직과 교통, 에너지 및 군사 공간에 대한 공격에 이를 사용했습니다.

Microsoft의 원래 패치에 대한 우회를 찾기 위해 Barnea는 MapUrlToZone이 로컬, 인트라넷 또는 신뢰할 수 있는 영역으로 레이블을 지정하는 경로를 만들고 싶었습니다. OS는 원격 서버에 연결하기 위해 이동합니다.

결국 그는 놈들이 미리 알림에서 URL을 변경할 수 있다는 것을 발견했습니다. 그러면 MapUrlToZone이 원격 경로가 로컬 경로로 표시되는지 확인하도록 속였습니다. UNC(Universal Naming Convention) 경로에 두 번째 “\”를 추가하여 단일 키 입력으로 이 작업을 수행할 수 있습니다.

Parnia는 “인터넷상의 인증되지 않은 공격자는 이 취약점을 악용하여 Outlook 클라이언트를 공격자가 제어하는 ​​서버에 강제로 연결할 수 있습니다.”라고 썼습니다. “이로 인해 NTLM 자격 증명이 도난당했습니다. 클릭할 수 없는 취약점으로, 사용자 상호 작용 없이 실행할 수 있습니다.”

그는 이 문제가 “Windows에서 복잡한 경로 처리의 결과로 보인다. … 우리는 이러한 종류의 혼란이 사용자 제어 경로에서 MapUrlToZone을 사용한 다음 파일 작업을 사용하는 다른 프로그램에서 취약점을 일으킬 수 있다고 생각합니다. (예: CreateFile 또는 API 유사 앱)이 동일한 경로에 있습니다.”

결함, CVE-2023-29324CVSS 심각도 점수는 6.5입니다. Microsoft는 조직을 권장합니다 수리하다 이 취약점(패치는 이번 주 화요일 패치의 일부로 릴리스됨)과 이전 CVE-2023-23397 모두입니다.

Parnia는 Microsoft가 사용자 지정 알림 소리 기능을 제거하기를 희망하며 사용자에게 잠재적인 가치보다 더 많은 보안 위험을 초래한다고 말했습니다.

“심각한 메모리 손상 취약점을 포함할 수 있는 노 클릭 미디어 분석 공격 표면입니다.”라고 그는 썼습니다. “Windows가 얼마나 보편적인지를 감안할 때 공격 표면을 제거하면 매우 긍정적인 효과를 얻을 수 있습니다.” ®