CVE-2022-21907 탐지: Windows Server의 웜 가능 원격 코드 실행

또 다른 날, 또 다른 중요한 취약점이 보안 실무자들에게 큰 골칫거리를 초래하고 있습니다. 이번에는 연구원들이 최신 데스크탑 및 서버 Windows 버전에 영향을 미치는 웜 가능 원격 코드 실행(RCE) 결함을 식별했습니다. 공급업체는 적들이 영향을 받은 인스턴스에서 임의의 코드를 실행할 수 있도록 결함을 쉽게 활용할 수 있기 때문에 가능한 한 빨리 시스템을 업그레이드할 것을 촉구하고 있습니다.

CVE-2022-21907 익스플로잇

이 버그는 웹 페이지 호스팅에 사용되는 Windows Internet Information Services 웹 서버의 중요한 구성 요소인 HTTP 프로토콜 스택에 존재합니다. HTTP 트레일러 지원 기능을 악용하여 무단 해커가 HTTP 프로토콜 스택(http.sys)를 활용하여 서버에 특수하게 조작된 패킷을 전송하고, 패킷을 처리하여 시스템이 그 대신 악성 코드를 실행하도록 유도할 수 있습니다. 특히 침입을 진행하기 위해 사용자 상호작용이 필요하지 않습니다.

CVSS 점수 9.8, 웜 가능한 보안 취약점, 그리고 공격 루틴의 낮은 복잡성을 감안할 때, Microsoft는 지체없이 취약점을 패치할 것을 권장합니다. 공급업체의 공지에 따르면, Windows 서버 버전 2019, 20H2, 2022와 데스크탑 버전 10, 11이 영향을 받는 것으로 확인되었습니다.

현재까지 야생에서 실제로 악용된 사례는 관찰되지 않았지만, CVE-2022-21907에 대한 익스플로잇이 무기화되는 것은 시간 문제일 뿐입니다. 이 취약점에 대한 공개 PoC 익스플로잇이 이미 배포되었습니다. 그러나 보안 연구원들은 사용 가능한 PoC가 야생에서의 공격에 완전히 적용 가능한지에 대해 논쟁을 벌이고 있습니다.

CVE-2022-21907 탐지

이 취약점은 Microsoft에 의해 최신 패치 화요일 릴리스 로 2022년 1월 11일 패치되었습니다. 또한, Windows Server 2019 및 Windows 10 버전 1809에 대해 완화 조치가 가능합니다. 취약한 코드는 기본값으로 로드되지 않으며 특정 레지스트리 키가 설정되었을 때만 로드됩니다. 사용자는 HTTP 트레일러 지원 기능을 비활성화하여 안전을 유지하면 됩니다.

Windows 서버의 이 웜 가능한 RCE에 대한 방어를 강화하고, 인프라에 대한 가능한 공격을 탐지하기 위해, SOC Prime의 Detection as Code 플랫폼에서 제공하는 무료 Sigma 규칙을 사용할 수 있습니다.

아래 규칙은 CVE-2022-21907에 대한 공개적으로 배포된 PoC 익스플로잇과 관련된 악성 활동을 탐지할 수 있도록 합니다. 공개된 PoC의 유효성을 두고 현재 논의가 진행 중임에 따라, SOC Prime 팀은 신뢰할 수 있는 출처의 공식 성명에 따라 기존 규칙에 관련 업데이트를 수행하고 새로운 규칙을 생성할 준비가 되어 있습니다.

Microsoft HTTP 프로토콜 스택 취약점 [CVE-2022-21907] 악용 가능성 (웹을 통해)

이 탐지는 다음과 같은 SIEM, EDR, XDR 플랫폼에 대한 번역을 포함합니다: Azure Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 최신으로 정렬되어 있으며, 초기 접근 전술에서 Exploit Public-Facing Application을 주요 기술(T1190)로 다루고 있습니다.

HTTP 트레일러 지원 가능성 또는 상태 확인 [CVE-2022-21907] (cmdline을 통해)

이 탐지는 다음의 SIEM, EDR, XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Open Distro.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 최신으로 정렬되어 있으며, 실행 및 발견 전술에서 명령 및 스크립트 인터프리터(T1059)와 쿼리 레지스트리(T1012)를 주요 기술로 다루고 있습니다.

SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 SIEM 또는 XDR 환경에서 최신 위협을 검색하고, MITRE ATT&CK 매트릭스에 맞춘 가장 관련성 높은 콘텐츠에 접근하여 위협 대응 능력을 개선하며, 전반적으로 조직의 사이버 방어 능력을 강화하세요. 보안 전문가들도 자신의 탐지 콘텐츠를 수익화하기 위한 Threat Bounty Program에 참여를 환영합니다.

플랫폼으로 이동 위협 바운티 가입