CVE-2023-38146 탐지: PoC 익스플로잇 발표로 위험이 커지는 Windows ‘ThemeBleed’ RCE 취약점

공격자가 RCE를 수행할 수 있게 하는 CVE-2023-38146로 추적되는 새로운 Microsoft Windows 테마 보안 버그가 사이버 위협 분야에 등장합니다. “ThemeBleed”라고도 알려진 이 취약성에 대한 개념 증명(PoC) 익스플로잇이 최근 GitHub에 공개되어 잠재적으로 감염된 Windows 인스턴스에 위협을 가하면서 수비수들의 주의를 끌고 있습니다.

CVE-2023-38146 탐지

PoC 익스플로잇이 웹에 공개됨에 따라 적들은 원격 코드 실행을 가능하게 하는 Windows ThemeBleed 취약성을 무기화하려고 주목합니다. CVE-2023-38146 악용 시도를 제때에 감지하기 위해 SOC 프라임 플랫폼은 관련된 Sigma 규칙 세트를 수집합니다. 모든 탐지는 주요 SIEM, EDR, XDR 및 데이터 레이크 기술 형식과 호환되고 MITRE ATT&CK® 프레임워크 와 함께 위협 사냥 절차를 간소화합니다. 

전체 큐레이트된 규칙 목록을 탐색하고 CVE-2023-28146 위협에 대한 심층 분석을 원하신다면 아래의 탐지 탐색 버튼을 클릭하세요. 보안 전문가들은 ATT&CK 참조와 CTI 링크가 동반된 포괄적인 사이버 위협 컨텍스트에 접근하여 현재의 보안 요구에 맞는 더 통찰력 있는 메타데이터를 획득하고 위협 조사를 강화할 수 있습니다.

탐지 탐색

CVE-2023-38146 분석

신규로 발견된 Windows 테마 취약성은 CVE-2023-38146, 즉 ThemeBleed로 확인되며, 높은 CVSS 점수 8.8을 기록, 임의 코드 실행으로 이어질 수 있습니다. ThemeBleed PoC 익스플로잇 이 GitHub에 공개되어 있는 만큼, 이 결함은 즉각적 주의가 필요합니다. 

2023년 9월 12일, Microsoft는 잠재적 CVE-2023-38146 악용 시도에 대한 세부 내용을 공개했습니다. 감염 체인은 공격자 제어의 SMB 공유에 접근 가능한 시스템에 무장된 THEME 파일을 로드함으로써 촉발됩니다. 

ThemeBleed를 최초로 보고한 연구원 Gabe Kirkpatrick 과 PoC 코드 개발자는 공격 세부 정보를 심층적으로 다루었습니다. 버전 번호 “999”의 활용은 MSSTYLES 파일의 처리 과정 내에서 DLL 서명 및 라이브러리 로드를 확인하는 데 상당한 시간 차이를 만들어 경합 조건의 출현을 초래할 수 있습니다. 그 후, 특수하게 생성된 MSSTYLES 파일을 적용함으로써 적들은 경합 창을 악용하여 검증된 DLL 대신 악성 DLL을 적용할 수 있으며, 이를 통해 영향 받은 시스템에서 임의의 코드를 실행할 수 있습니다. 또한, 연구원은 웹에서 악성 Windows 테마 파일을 다운로드할 경우 ‘웹의 표시’ 경고가 촉발되어 사용자에게 잠재적 위협을 알릴 수 있다고 덧붙였습니다. 그러나 적들은 이 테마를 THEMEPACK 아카이브 파일로 포장하여 이 경고를 우회할 수 있습니다. and the developer of the PoC code has covered the in-depth attack details. Leveraging the version number “999” creates a significant time gap in the process of verifying the DLL signature and library load within the routine for handling the MSSTYLES file, which can cause the emergence of a race condition. Further on, by applying the specifically generated MSSTYLES file, adversaries can exploit a race window to apply malicious DLL instead of a verified one, which enables them to run arbitrary code on the impacted system. In addition, the researcher adds that downloading a malicious Windows Theme file from the web triggers the ‘mark-of-the-web’ warning, which can notify a user of the potential threat. However, adversaries can bypass this alert by wrapping the theme into a THEMEPACK archive file.

Microsoft는 최근 2023년 9월 Patch Tuesday에서 “버전 999” 기능을 제거하여 CVE-2023-38146에 대한 보안 업데이트를 다루었습니다. 그러나 Kirkpatrick은 기본적인 경합 조건이 여전히 존재하여 대상으로 한 사용자에게 잠재적 위험을 제기한다고 지적합니다. 또한, THEMEPACK 파일에 대한 웹의 표시 경고가 없어 공격자가 보안 보호 조치를 우회하는 것을 막기 위한 조치가 아직 필요합니다.

위협을 완화하기 위해 방어자들은 CVE-2023-38146과 함께 50개 이상의 다른 버그를 다루는 최신 Microsoft 보안 업데이트 팩을 적용하고 “버전 999” 기능을 제거하며 Windows 테마 파일 내에서 원격 공유로부터의 리소스 로딩을 방지할 것을 권장합니다.

SOC 프라임을 탐색하여 CVE 악용 시도를 사전에 탐지 하고 야생에서 상대가 사용하는 최신 TTP에 대한 첫 소식을 얻으세요. 맞춤형 인텔리전스를 탐색하고 CVE 설명, 익스플로잇 PoC, 미디어 참조 및 완화를 위한 링크와 함께 전체 위협 컨텍스트로 깊이 들어가십시오. 위협 연구에서 항상 앞서 나가십시오.