CVE-2023-24055 탐지: KeePass의 악명 높은 취약점이 평문 암호를 노출할 가능성

경계하세요! 보안 연구원들이 유명한 비밀번호 관리자인 KeePass 사용자를 심각한 위협에 노출시키는 악명 높은 취약점을 발견했습니다. CVE-2023-24055로 추적되는 보안 결함은 KeePass 버전 2.5x에 영향을 미칠 수 있으며, 공격자들이 저장된 비밀번호를 평문으로 얻을 수 있도록 할 가능성이 있습니다.

CVE-2023-24055 탐지

각 개념 증명(Proof-of-concept, PoC) 익스플로잇이 존재하고, KeePass가 전 세계에서 가장 인기 있는 비밀번호 관리자 중 하나라는 점을 고려할 때, 현재의 보안 결함은 공격자들에게 매력적인 목표물입니다. CVE-2023-24055 익스플로잇과 관련된 악의적인 활동을 사전에 탐지하기 위해, SOC Prime의 검출 코드 플랫폼은 전용 Sigma 규칙.

KeePass [CVE-2023-24055] 익스플로잇 패턴 가능성 (cmdline를 통해)

KeePass [CVE-2023-24055] 익스플로잇 패턴 가능성 (powershell을 통해)

위의 두 규칙 모두 주목받고 있는 KeePass 취약점과 관련된 익스플로잇 패턴을 탐지하며, 이는 CVE-2023-24055 PoC 익스플로잇 코드를 기반으로 합니다. 이 코드는 탐지를 피하고 공격을 진행하면서 레이더 아래에 머무르기 위해 적에 의해 수정될 수 있습니다.

탐지는 22개의 SIEM, EDR, XDR 플랫폼과 호환되며, MITRE ATT&CK® 프레임워크 v12와 일치하며, 자격증명 초기 접근 및 비밀번호 스토어로부터 자격 증명 탈취 전술(T1555) 및 웹 서비스 경유 탈취(T1567)를 해당 기법으로 처리합니다.

또한, CVE-2023-24055 익스플로잇과 관련된 악의적인 활동을 탐지하기 위해, SOC Prime 팀은 아래 나열된 탐지 규칙을 적용할 것을 강력히 권장합니다:

숨겨진 PowerShell 명령 줄을 통한 실행 가능성 (cmdline을 통해)

의심스러운 PowerShell 문자열 (powershell을 통해)

PowerShell CommandLine에서 의심스러운 .NET 클래스/메서드 호출 (process_creation을 통해)

PowerShell에서 의심스러운 .NET 메서드 호출 (powershell을 통해)

CVE-2023-24055에 대한 모든 전용 Sigma 규칙에 즉시 접근하고, 해당 CTI 링크, ATT&CK 참조, 위협 헌팅 아이디어를 얻으려면 Explore Detections 버튼을 누르세요.

탐지 탐색

CVE-2023-24055 분석

KeePass는 현재까지 가장 강력하고 안전한 관리자 중 하나로 평가받는 매우 인기 있는 무료 오픈 소스 도구입니다. 그러나 KeePass에 영향을 미치는 새로운 취약점이 최근 밝혀지면서 수백만 사용자가 위험에 노출될 수 있습니다.

아래의 연구에서 설명된 대로 Alex Hernandez 와 전용 SourceForge 스레드에서 자세히 설명된 대로, 문제의 취약점은 XML 구성 파일에 대한 쓰기 접근 권한을 가진 공격자가 내보내기 트리거를 추가하여 평문 비밀번호를 얻을 수 있도록 할 수 있습니다. CVE-2023-24055에 대한 PoC 익스플로잇, 이를 위한 스캐너, 및 트리거 예시 목록이 공개적으로 게시되었습니다 Alex Hernandez의 GitHub에.

특히, 공급업체는 그러한 수준의 로컬 PC 접근을 가진 공격자에 대해 비밀번호 데이터베이스가 안전할 의도가 없음을 명시하고 있습니다. 게다가, 영향을 받는 KeePass 버전에 대한 목록은 여전히 논쟁의 여지가 있습니다. 현재로서는 KeePass v2.5x가 영향을 받는 것으로 간주되며, 사용자는 잠재적 위협을 피하기 위해 최신 2.53 버전 으로 업그레이드할 것을 권장합니다.

위협 탐지 기능을 강화하고 Sigma, MITRE ATT&CK, Detection as Code를 적용하여 모든 적의 전술 테크닉(Adversary TTP) 또는 exploitable 취약점에 대한 맞춤형 탐지 알고리즘을 통해 위협 헌팅 속도를 높이세요. 실존하는 CVE에 대한 800개의 규칙을 획득하여 가장 중요한 위협에 미리 대응하세요. 즉시 140개 이상의 Sigma 규칙을 무료로 획득 하거나 On Demand에서 관련 탐지 알고리즘을 모두 얻으세요 https://my.socprime.com/pricing/.