CVE-2024-21378 탐지: Microsoft Outlook의 취약점으로 인증된 원격 코드 실행 발생

악랄한 JetBrains TeamCity 취약점 (CVE-2024-27198, CVE-2024-2719)에 이어, 보안 전문가들은 Microsoft Outlook에 영향을 미치는 새로운 RCE를 공개했습니다. 인증된 공격자는 취약점을 이용하여 영향을 받은 인스턴스에 악성 코드를 실행하고 광범위한 제어를 달성할 수 있습니다. 이 취약점은 2024년 2월 Microsoft에 의해 패치되었지만, 최근의 PoC(개념 증명) 공개를 고려할 때 공급업체는 이를 ‘Exploitation More Likely’, 즉 더욱 높은 악용 가능성으로 분류합니다.

CVE-2024-21378 악용 시도 탐지

CVE-2024-21378이 실제 캠페인에서 무기화될 가능성을 염두에 두고, 사이버 수호자들이 공격 개발의 초기 단계에서부터 적극적으로 방어하고 의심스러운 활동을 감지하는 것이 중요합니다. SOC Prime 플랫폼은 Microsoft Outlook 취약점 악용과 관련된 악성 활동을 식별하기 위한 선별된 Sigma 규칙 세트를 집계합니다.

가능한 CVE-2024-21378 (Microsoft Outlook의 원격 코드 실행) 악용 시도 (registry_event를 통해)

가능한 CVE-2024-21378 (Microsoft Outlook의 원격 코드 실행) 악용 시도 (process_creation을 통해)

가능한 CVE-2024-21378 (Microsoft Outlook의 원격 코드 실행) 악용 시도 (file_event을 통해))

SOC Prime 팀의 규칙은 Outlook 폼과 관련된 특정 경로에서 악성 DLL 파일을 배치하는 데 사용될 수 있는 파일 변경 및 관련 작업을 탐지합니다. 모든 탐지는 28개의 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되며, MITRE ATT&CK 프레임워크 v14.1로, Hijack Execution Flow (T1574)를 주요 기술로 사용하는 방어 회피 전술을 다룹니다.

어떠한 규모의 새로운 위협, 특히 유행하는 CVE에 대해 사이버 복원력을 강화하려는 보안 전문가들은 취약점 악용을 다루는 탐지 알고리즘 전체 컬렉션을 탐색할 수 있습니다. 아래의 탐지 탐색 버튼을 클릭하고, 방대한 메타데이터와 맞춤형 인텔리전스로 풍부해진 규칙 목록을 심층 분석하십시오.

탐지 탐색

CVE-2024-21378 분석: Microsoft Outlook의 원격 코드 실행

2023년으로 돌아가면 NetSpi 연구원들은 Microsoft Outlook에 영향을 미치는 인증된 원격 코드 실행 취약점을 발견했습니다. CVE-2024-21378로 추적된 이 결함은 해커가 영향을 받은 시스템에서 악성 코드를 실행할 수 있게 합니다. 그러나 문제를 악용하려면 위협 행위자는 LAN 액세스 및 Exchange 사용자를 위한 유효한 액세스 토큰과 인증이 필요합니다. 또한, 타겟 사용자가 제작된 파일과 상호 작용해 추가 공격 단계를 트리거하도록 속임을 당해야 합니다.

특히, 공격 벡터는 Etienne Stalmans 가 2017년 SensePost에서 설명한 것입니다. 이 방법은 Outlook 폼 오브젝트 내 VBScript 코드를 활용하여 메일박스 접근과 함께 RCE에 도달합니다. Microsoft는 관련 패치를 통해 문제를 해결했지만, 폼 오브젝트의 취약한 동기화 기능은 변경되지 않아 Outlook의 보안 문제가 주목을 받게 되었습니다.

이 결함은 2023년에 Microsoft에 보고되었으며, 공급업체는 2024년 2월 13일에 모든 지원되는 Outlook 버전에서 패치 했습니다. 3월 11일에 NetSpi 연구원들은 관련 PoC 코드에 대한 개요를 공유했습니다. CVE-2024-21378의 세부 정보가 웹에 공개됨에 따라 잠재적 악용의 위험이 커지고 있으며, 이는 방어자들의 고도의 대응을 촉구합니다.

SOC Prime의 Attack Detective를 활용하여 보안 엔지니어들은 사이버 방어의 맹점을 제때에 식별하고 이러한 문제를 해결하기 위한 적절한 데이터를 수집하며, SIEM ROI를 최적화하고, 적이 공격하기 전에 탐지 절차를 우선시함으로써 조직의 사이버보안 태세를 강화할 수 있습니다., security engineers can elevate the organization’s cybersecurity posture by timely identifying cyber defense blind spots, identifying proper data to collect to address these gaps and optimize SIEM ROI, and prioritizing detection procedures before adversaries have a chance to strike.