CVE-2022-30190 탐지: Microsoft Windows 원격 코드 실행 취약점 업데이트

Windows 제로데이 취약점(CVE-2022-30190), 일명 Follina.

2022년 4월, CrazymanArmy 라는 이름의 연구팀이 그들 제품 중 하나에 있는 새로운 제로데이 RCE 취약점을 Microsoft에 경고했습니다. 이 기술 회사는 그 당시에는 그 문제를 해결하지 않기로 했습니다. 2022년 5월 27일, 이 Windows의 RCE 취약점은 Microsoft Support Diagnostic Tool(MSDT)에 영향을 미쳐 공개되었으며, 사이버 보안 커뮤니티에서 주목받기 시작했습니다. 2022년 5월 31일 현재, 이 Windows 취약점은 드디어 인정되고 CVE-2022-30190으로 추적되고 있지만, 여전히 Microsoft에 의해 공식적으로 제로데이로 언급되지는 않습니다.

CVE-2022-30190 감지

SOC Prime Platform의 Threat Detection Marketplace 저장소에서 CVE-2022-30190(Follina)와 관련된 탐지 콘텐츠 업데이트를 팔로우하세요. 협력적인 사이버 방어의 힘을 활용하여, SOC Prime 팀은 최근 CVE-2022-30190 탐지를 위한 전용 Sigma 규칙을 출시했습니다:

CVE-2022-30190 취약점 악용 시도를 탐지하기 위한 Sigma 규칙

버튼을 눌러 Follina 제로데이 취약점과 관련된 탐지 콘텐츠의 상세 목록에 접근하세요. 탐지 보기 적절히 태그된 열람할 수 있는 관련 탐지 콘텐츠의 적절한 목록을 확인하세요. 신입 및 경험 있는 위협 헌터들은 Threat Bounty Program에 참여하여 위협 탐지 영역의 지식과 기술을 도전할 수 있습니다.

탐지 보기 Threat Bounty 참여

CVE-2022-30190 설명

2022년 5월 30일, Microsoft는 CVE-2022-30190권고안을 발표했으며, 보안 대응 센터에서 제공하는 안내서 와 함께, 수정이 제공되기 전의 임시 해결책을 제공했습니다.

MSDT에 영향을 미치는 이 RCE 취약점의 별명은 원래 VirusTotal에 업로드된 무기화된 Word 샘플의 이름에서 유래되었습니다. 여기에는 0438 번호 조합이 포함되어 있습니다. 보안 연구원 Kevin Beaumont 는 이 번호가 이탈리아의 코무네 Follina 지역의 다이얼링 코드이기도 하다는 점을 인식하여 Follina라는 이름을 부여했습니다.

현재로서는 버그를 수정하기 위한 패치가 없어 적들이 최신 Office 버전조차도 악용할 수 있습니다. 문제의 Microsoft 제품인 MSDT는 위협 행위자들에게 커다란 매력적인 활동 공간이므로, CVE-2022-30190 개발 상황에 촉각을 곤두세우고 환경에서의 가능성 있는 악용 시도를 탐색하는 것이 강력히 권장됩니다.

이 취약점에 대한 추가 정보를 원하시면, CVE-2022-30190 분석 을 2022년 5월 30일 SOC Prime 블로그에 공개하였습니다.

콘텐츠 스트리밍 기능을 테스트하고 보안 리더들이 개발한 탐지 콘텐츠로 귀사의 일일 SOC 운영을 활성화하세요. 빠르게 변화하는 사이버 보안 위험 환경의 변화를 주시하고 SOC Prime.