안녕하세요!

 

 

이번 포스팅에서는 "메일을 수신하는것만으로 내 계정 정보가 털린다고? - Microsoft Outlook 권한 상승 취약점(CVE-2023-23397) 및 대응 방법" 에 대해 알아보겠습니다.

 

 

 

 

이번달 Microsoft Security Response Center에서는, Outlook과 관련된 심각한 위협 수준(위험도 9.8)의 보안 업데이트 가이드를 발표 하였습니다.

 

참고: CVE-2023-23397 - Security Update Guide - Microsoft - Microsoft Outlook Elevation of Privilege Vulnerability

 

Security Update Guide - Microsoft Security Response Center

 

msrc.microsoft.com

 

 

Microsoft Outlook 권한 상승 취약점(CVE-2023-23397)은, 거의 모든 Outlook 버전에서 메일 수신시 메일을 열지 않아도 해당 사용자의 비밀번호 해시가 노출되어 계정을 탈취하거나 다른 시스템에 접근할 수 있습니다.

 

어떤가요? 사용자는 메일을 모르는 사람에게 수신 했을 뿐이고, 아무짓도 안했는데 내 계정 정보가 탈취당한다라니.;; 심각한 취약점이 아닐 수 없습니다.

 

해당 취약점에 대해 조금 더 자세하게 설명을 드리자면, 공격자가 제어하는 서버의 SMB(TCP445) 공유에 대한 UNC 경로가 들어 있는 확장된 MAPI 속성을 포함하여 메일을 발송합니다. 메일을 수신한 Outlook 클라이언트가 아무 행동을 취하지 않더라도, 메일이 Outlook 사서함에 도달하는 것 만으로 취약점이 노출됩니다. Outlook 클라이언트는 SMB 요청을 보내면서 NTLM 인증 정보를 전송하는데, 이때 사용자의 Net-NTLMv2 해시에 액세스 할 수 있게 됩니다.

 

참고로 해당 취약점은 Outlook에만 영향을 미치며, 클라우드 기반 메일 서비스나 모바일 서비스에는 영향을 주지 않습니다.

 

 

그럼 Outlook을 사용하는 사용자들은 어떻게 대응을 해야 하나요?

아주 간단합니다. Office 프로그램을 제거하고, Outlook을 사용 안하시면 됩니다! 쿨럭.. 죄송합니다;;

 

다시~ 아주 간단하게 대응을 하시면 됩니다. 바로 Office 업데이를 수행하면 됩니다!!

 

Microsoft는 이번 취약점 대응으로 보안 업데이트를 배포하였습니다. 가능한 빠르게 Office 업데이틀 수행하시면 되겠습니다.

 

Office 업데이트가 정상적으로 수행되었는지 확인하는 방법은, Outlook 버전이 아래 스샷과 같은 버전으로 업데이트가 되어 있으면 되겠습니다.

 

 

 

 

ex) 월간 엔터프라이즈 채널: 버전 2301의 경우에는 빌드 '16026.20238' 이면 업데이트가 완료된 것 입니다.

 

 

만약 Office 업데이트를 수행할 수 없는 특수한 환경(?)일 경우에는 어떻게 해야 할까요?

해당 취약점의 원리를 이해하면 WorkAround로 대응할 수 있습니다.

 

방화벽 역할을 수행하는 장비에서 SMB(TCP445) Outbound 트래픽을 차단합니다.

 

또는 NTLM 인증을 비활성화 함으로써 공격자가 해시에 접근하는 것을 차단할 수 있습니다.

 

그리고 다단계 인증(MFA=Multi Factor Authentication)을 통해서도 일부 대응이 가능합니다. 공격자가 사용자의 계정 정보를 탈취하더라도 해당 계정 정보를 사용하는 시스템에서 MFA가 걸려 있다면 해당 시스템을 보호할 수 있습니다.

 

 

추가로 Microsoft에서 Microsoft Outlook 권한 상승 취약점(CVE-2023-23397) 과 관련된 PowerShell 스크립트(CVE-2023-23397.PS1)를 배포 하였습니다.

 

해당 스크립트를 실행하여 의심스러운 항목을 찾아 제거할 수 있는데, 사용 방법에 대해서는 다음 포스팅에서 자세하게 다뤄보도록 하겠습니다.

 

 

참고: Outlook Elevation of Privilege Vulnerability Leaks Credentials via NTLM

 

Outlook Elevation of Privilege Vulnerability Leaks Credentials via NTLM

Among the latest set of patches released by Microsoft, a fix for CVE-2023-23397 is available to fix an NTLM vulnerability in Outlook for Windows clients. The update closes a hole where attackers can use specially formatted messages to force NTLM credential

practical365.com

 

 

 

 

이상으로 "메일을 수신하는것만으로 내 계정 정보가 털린다고? - Microsoft Outlook 권한 상승 취약점(CVE-2023-23397) 및 대응 방법" 에 대해 알아보았습니다.

 

 

감사합니다.

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기