CVE-2023-23397 익스플로잇 탐지: 유럽 정부 및 군대를 대상으로 활용된 Microsoft Outlook의 심각한 권한 상승 취약점

사이버 방어자를 위한 보안 주의보! Microsoft는 최근 Microsoft Outlook for Windows에 영향을 미치는 중요한 권한 상승 취약성(CVE-2023-23397)을 수정했습니다. 이 취약성을 통해 적들은 타겟 인스턴스에서 해시 암호를 덤프할 수 있습니다. 특히, 이 결함은 2022년 4월부터 제로데이로 활용되었으며, 유럽 전역의 정부, 군사 및 주요 인프라 조직에 대한 사이버 공격에 사용되고 있습니다.

CVE-2023-23397 탐지

점점 더 많은 보안 결함이 널리 사용되는 소프트웨어 제품에 영향을 미치고 있는 상황에서, 취약점 악용의 사전 탐지가 2021-2022년의 주요 보안 활용 사례 중 하나였으며 현재도 선두 위치를 유지하고 있습니다. CVE-2023-23397로 추적되는 악명 높은 권한 상승 취약성은 CVSS 점수를 기반으로 9.8점의 심각도를 가지고 있으며, 이는 모든 버전의 Microsoft Outlook에 영향을 미칩니다. 이 Microsoft Outlook 취약성은 실제로 악용되고 있으며, 공격자가 이를 남용할 경우 이 인기 있는 Microsoft 제품에 의존하는 조직에 심각한 위협이 될 수 있습니다. 조직이 적의 활동을 적시에 발견하고 CVE-2023-23397의 악용 패턴을 사전 탐지할 수 있도록 SOC Prime 팀은 관련 Sigma 규칙을 최근에 출시했습니다. MITRE ATT&CK framework v12에 매핑된 이러한 탐지를 자동 변환하여 업계 선도적인 SIEM, EDR 및 XDR 솔루션에 즉시 적용할 수 있는 링크를 아래에서 탐색하세요.

Microsoft Outlook [CVE-2023-23397] 악용 패턴(프로세스 생성 경로)

이 Sigma 규칙은 강제 인증(T1187)을 주요 기술로 사용하는 자격 증명 액세스 전술을 다루고 있습니다.

의심스러운 위치와 함께 독립 실행 메시지 파일을 열기 위해 사용된 Outlook(cmdline 경로)

위에 언급된 Sigma 규칙은 강제 인증(T1187) 기술과 함께 피싱(T1566) 기술로 나타나는 최초 진입점 전술도 다룹니다.

클릭하면 탐지를 탐색 버튼을 통해 조직은 CVE-2023-23397의 악용 시도와 관련된 악의적 행동을 식별하는 데 도움을 주기 위해 더욱 많은 탐지 알고리즘에 즉시 접근할 수 있습니다. 간소화된 위협 조사를 위해 팀은 또한 ATT&CK 및 CTI 참조를 포함한 관련 메타데이터를 심층 분석할 수 있습니다.

탐지를 탐색

팀은 또한 SOC Prime의 Quick Hunt 모듈 을 활용해 CVE-2023-23397의 악용 시도와 관련된 위협을 검색할 수 있습니다. 현재 필요에 따라 확인된 쿼리 목록을 필터링하기 위해 ‘CVE-2023-23397’이라는 사용자 지정 태그를 적용합니다. 플랫폼과 환경을 선택하고 심층 탐색을 통해 위협 조사를 즉시 진행하여 조사 시간을 단축합니다.

Microsoft Outlook 제로데이 분석: CVE-2023-23397

2023년 3월 패치 화요일에서는 모든 버전의 Microsoft Outlook for Windows에 영향을 미치는 악명높은 권한 상승 취약성(CVE-2023-23397)을 밝혀냈습니다. 이 버그는 공격자가 피해자에게 악성 이메일을 보내 NTLM 자격 증명을 획득할 수 있도록 합니다. Microsoft의 권고에 따르면, 이메일이 메일 서버에서 수신 및 처리될 때 자동으로 트리거되므로 사용자 상호 작용이 필요하지 않습니다.

NTLM 인증은 위험한 것으로 여겨지지만, 여전히 새로운 시스템에서도 이전 시스템과의 호환성을 유지하기 위해 사용됩니다. 이러한 경우 인증은 서버가 공유 자원에 액세스할 때 클라이언트로부터 가져오는 암호 해시로 수행됩니다. CVE-2023-23397은 해커가 이러한 해시를 훔쳐 관심 있는 네트워크에 대한 성공적인 인증에 활용할 수 있도록 합니다.

이 취약성은 처음 우크라이나 CERT 에 의해 발견되었고 Microsoft의 사건 및 위협 인텔리전스 팀에 의해 추가 조사가 이루어졌습니다. Microsoft 연구원들은 이 악용 시도가 유럽의 조직을 대상으로 하는 사이버 공격에 연루된 러시아 배후의 위협 행위자에게 책임이 있다고 합니다.

사이버 보안 연구원들은 이 악성 활동이 잘 알려진 러시아 정부 지원 해킹 집단인 APT28 (또는 Fancy Bear APT 또는 UAC-0028)으로 추적된 것으로 추정합니다. 우크라이나 국가 특수 통신 정보 보호 서비스(SSSCIP)의 조사에 따르면 APT28 위협 행위자들은 2022년 초 우크라이나의 중요 인프라를 상대로 한 일련의 표적 사이버 공격 배후에 있었습니다. 이 해킹 집단은 또한 2022년 우크라이나를 상대로 한 기타 적대적 캠페인에서도 관찰되었으며, 그 과정에서 Windows CVE-2022-30190 제로데이 취약성을 무기로 사용하여 Cobalt Strike 비콘 과 다양한 종류의 CredoMap 악성코드 를 침해된 시스템에 배포했습니다.

잠재적 완화 조치로서 사이버 방어자들은 CVE-2023-23397을 제때 패치하고 메시지가 UNC 경로를 사용하는지 확인하며, 취약성 악용의 흔적이 없는지 확인하기 위해 Microsoft의 스크립트를 적용할 것을 권장합니다.

사이버 위협을 앞서 나가기 위한 방법을 찾고, 관련 적 대적 TTP에 대한 탐지를 항상 손에 넣고 싶으신가요? 800개 이상의 현재 및 미래의 CVE 규칙에 접근하여 위험을 제때 식별하고 사이버 보안 태세를 강화하세요. 무료로 140개 이상의 Sigma 규칙에 접근하거나, 수요 대응에서 관련 탐지 알고리즘의 전체 목록을 탐색하시기 바랍니다. 140+ Sigma 규칙을 무료로 접근하거나 온 디맨드를 통해 관련 탐지 알고리즘 전체 목록을 탐색하세요. https://my.socprime.com/pricing/