지금 패치: 중요한 Windows Kerberos 버그로 인해 Microsoft 보안이 우회됨

Microsoft는 2024개의 고유한 CVE에 대한 패치로 구성된 상대적으로 가벼운 48월 보안 업데이트를 통해 기업 보안 팀을 XNUMX년까지 편안하게 만들었습니다. 이 중 XNUMX개만이 심각도가 심각한 것으로 확인되었습니다.

두 달 연속으로 Microsoft의 화요일 패치에는 제로데이 버그가 포함되지 않았습니다. 즉, 관리자는 공격자가 현재 적극적으로 악용하고 있는 새로운 취약점(2023년에 자주 발생했던 일)과 씨름할 필요가 없습니다.

단 두 가지 심각한 심각도 버그

일반적으로 그렇듯이, CVE는 마이크로소프트가 9월 XNUMX일 공개했다. 광범위한 제품에 영향을 미쳤으며 권한 상승 취약점, 원격 코드 실행 결함, 보안 우회 버그 및 기타 취약점이 포함되었습니다. 회사는 공격자가 악용하지 않을 가능성이 높은 몇 가지를 포함하여 46개의 결함을 중요 심각도로 분류했습니다.

Microsoft 최신 업데이트의 두 가지 심각한 심각도 버그 중 하나는 다음과 같습니다. CVE-2024-20674는 공격자가 인증 메커니즘을 우회하고 가장 공격을 시작할 수 있게 하는 Windows Kerberos 보안 기능 우회 취약점입니다. Qualys의 취약성 연구 관리자인 Saeed Abbasi는 Dark Reading에 대한 논평에서 "공격자는 MitM(중간 기계) 공격을 통해 이 결함을 악용할 수 있습니다."라고 말했습니다. “그들은 로컬 네트워크 스푸핑 시나리오를 설정한 다음 악의적인 Kerberos 메시지를 보내 클라이언트 시스템이 합법적인 Kerberos 인증 서버와 통신하고 있다고 믿도록 속임으로써 이를 달성합니다.”

이 취약점을 이용하려면 공격자가 대상과 동일한 로컬 네트워크에 액세스할 수 있어야 합니다. 인터넷을 통해 원격으로 악용할 수 없으며 내부 네트워크에 근접해야 합니다. 그럼에도 불구하고 가까운 미래에 적극적인 악용 시도가 일어날 가능성이 높다고 Abbasi는 말했습니다.

Immersive Labs의 위협 연구 수석 이사인 Ken Breen은 다음과 같이 말했습니다. CVE-2024-20674 조직이 신속하게 패치를 적용해야 할 버그입니다. Breen의 성명에 따르면 "이러한 종류의 공격 벡터는 랜섬웨어 운영자 및 액세스 브로커와 같은 위협 행위자에게 항상 가치가 있습니다."라고 밝혔습니다. 왜냐하면 이를 통해 기업 네트워크에 대한 상당한 액세스가 가능해지기 때문입니다.

Microsoft의 최신 보안 업데이트 배치에 포함된 또 다른 중요한 취약점은 Windows Hyper-Virtualization 기술의 원격 코드 실행 취약점인 CVE-2024-20700입니다. Immersive Labs의 수석 사이버 보안 엔지니어인 Ben McCarthy의 성명에 따르면, 이 취약점을 악용하려면 공격자가 먼저 네트워크 내부에 있어야 하고 취약한 컴퓨터에 인접해야 하기 때문에 악용하기가 특히 쉽지 않습니다.

이 취약점에는 공격자가 다른 많은 취약점 유형보다 악용하기 어려운 문제 유형인 경쟁 조건도 포함됩니다. McCarthy는 “이 취약점은 악용 가능성이 낮기 때문에 공개되었지만 Hyper-V는 컴퓨터에서 가장 높은 권한으로 실행되기 때문에 패치를 고려해 볼 가치가 있습니다.”라고 말했습니다.

우선순위가 높은 원격 코드 실행 버그

보안 연구원들은 1월 업데이트에서 우선적으로 주의를 기울여야 할 두 가지 다른 RCE 버그를 지적했습니다. CVE-2024-21307 Windows 원격 데스크톱 클라이언트 및 CVE-2024-21318 SharePoint 서버에서.

Breen에 따르면 Microsoft는 CVE-2024-21307을 공격자가 악용할 가능성이 더 높은 취약점으로 식별했지만 그 이유에 대한 정보는 거의 제공하지 않았습니다. 회사는 승인되지 않은 공격자가 이 취약점을 악용하려면 사용자가 연결을 시작할 때까지 기다려야 한다고 지적했습니다.  

브린은 “이것은 공격자가 사용자를 속여 연결하기 위해 악성 RDP 서버를 만들고 사회 공학 기술을 사용해야 한다는 것을 의미합니다.”라고 말했습니다. "말처럼 어렵지는 않습니다. 공격자가 악성 RDP 서버를 설정하고 이메일로 .rdp 첨부 파일을 보내는 것은 상대적으로 쉽기 때문에 사용자가 첨부 파일을 열기만 하면 익스플로잇을 실행할 수 있기 때문입니다."

악용 가능한 권한 상승 버그 몇 가지

Microsoft의 1월 업데이트에는 여러 권한 상승 취약점에 대한 패치가 포함되었습니다. 그 중 가장 심각한 것은 다음과 같습니다. CVE-2023-21310, Windows Cloud Files Mini Filter Driver의 권한 에스컬레이션 버그입니다. 결함은 다음과 매우 유사합니다. CVE-2023-36036, Microsoft가 공개한 동일한 기술의 제로데이 권한 상승 취약점입니다. 2023년 XNUMX월 보안 업데이트.

공격자들은 이 결함을 적극적으로 악용하여 로컬 컴퓨터에서 시스템 수준 권한을 얻으려고 시도했습니다. 새로 공개된 취약점에도 이러한 작업을 수행할 수 있습니다. Breen은 “이러한 유형의 권한 상승 단계는 네트워크 손상 시 위협 행위자에게 자주 목격됩니다.”라고 말했습니다. "이를 통해 공격자는 보안 도구를 비활성화하거나 Mimikatz와 같은 자격 증명 덤핑 도구를 실행하여 측면 이동을 활성화하거나 도메인 계정을 손상시킬 수 있습니다."

다른 중요한 권한 에스컬레이션 버그 중 일부가 포함되었습니다. CVE-2024-20653 Windows 공통 로그 파일 시스템에서 CVE-2024-20698 Windows 커널에서, CVE-2024-20683 Win32k에서는 및 CVE-2024-20686 Win32k에서. Tenable의 수석 연구 엔지니어인 Satnam Narang의 성명에 따르면 Microsoft는 이러한 모든 결함을 공격자가 악용할 가능성이 더 높은 문제로 평가했습니다. “이러한 버그는 일반적으로 침해 후 활동의 일부로 사용됩니다.”라고 그는 말했습니다. "즉, 공격자가 시스템에 대한 초기 발판을 확보한 이후입니다."

Microsoft가 중요하다고 평가했지만 빠른 주의가 필요한 결함 중 하나는 다음과 같습니다. CVE-2024-0056, Abbasi는 SQL의 보안 우회 기능이라고 말합니다. 이 결함으로 인해 공격자는 중간자 공격을 수행하여 클라이언트와 서버 간의 TLS 트래픽을 가로채고 잠재적으로 변경할 수 있다고 그는 지적합니다. “악용될 경우 공격자는 보안 TLS 트래픽을 해독하거나 읽거나 수정하여 데이터의 기밀성과 무결성을 침해할 수 있습니다.” Abbasi는 공격자가 이 결함을 활용하여 SQL 데이터 공급자를 통해 SQL Server를 악용할 수도 있다고 말했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass