CVE-2023-28252 및 CVE-2023-21554 악용 시도 탐지: 랜섬웨어 공격에 적극 사용되는 윈도우 제로데이와 심각한 RCE 결함

점점 더 많은 제로 데이 결함이 널리 사용되는 소프트웨어 제품에 영향을 미치면서, 취약점 악용의 사전 탐지 는 2021년부터 가장 널리 확산된 보안 사용 사례 중 하나였습니다. 

Microsoft는 최근 제품에 영향을 미치는 중요한 결함에 대한 보안 업데이트를 여러 차례 발행했으며, 공격에 적극적으로 이용된 CVE-2023-28252 취약점으로 추적된 제로 데이에 대한 패치를 포함하고 있습니다. 후자는 Windows 공통 로그 파일 시스템(CLFS) 드라이버의 권한 상승 취약점이며, CVSS 점수가 7.8에 달합니다.

사이버 방어자들의 주목을 끄는 또 다른 보안 버그는 Microsoft Message Queuing(MSMQ) 서비스의 RCE 취약점(CVE-2023-21554)으로 추적되며, CVSS 점수가 9.8입니다.

활성화된 취약점 악용을 고려하여, 2023년 4월 11일에 CISA가 경고를 발행하여 산업 동료들에게 CVE-2023-28252 Windows 제로 데이를 알려진 악용 취약성 카탈로그에 추가하여 사이버 보안 인식을 높였습니다. 

CVE-2023-28252 & CVE-2023-21554 탐지

Microsoft가 두 달 연속으로 주력 제품에서 제로 데이 취약점을 해결함에 따라, 보안 실무자들은 조직 인프라를 사전적으로 식별하고 보호하기 위해 신뢰할 수 있는 탐지 콘텐츠 출처가 필요합니다.

SOC Prime의 Detection as Code 플랫폼은 CVE-2023-28252 및 CVE-2023-21554 악용 탐지를 목표로 한 정제된 Sigma 규칙 세트를 제공합니다. 아래 링크를 따라 CTI 링크, MITRE ATT&CK® 참조 및 기타 관련 메타데이터와 함께 탐지를 더욱 깊이 탐구하십시오.

CVE-2023-28252 악용 패턴을 탐지하기 위한 Sigma 규칙

이 규칙은 21개의 SIEM, EDR 및 XDR 플랫폼과 호환되며, MITRE ATT&CK 프레임워크 v12와 일치하여 Exploit Public-Facing Application (T1190)를 해당 기술로 다룹니다. 

CVE-2023-21554 악용 시도를 탐지하기 위한 Sigma 규칙

이 규칙들은 20개 이상의 SIEM, EDR 및 XDR 언어 형식을 지원하며, 초기 접근과 횡적 이동 전술을 주소하며, Exploit Public-Facing Application (T1190)과 원격 서비스 악용(T1210)를 해당 기술로 다룹니다. 

탐지를 탐색하기 위해 탐지 탐색 버튼을 클릭하면 조직은 유행하는 취약점의 악용에 연결된 악성 행동을 식별하는 데 도움을 줄 수 있는 더 많은 탐지 알고리즘에 즉시 접근할 수 있습니다.

탐지 탐색

CVE-2023-21554 및 CVE-2023-28252 분석 

CISA 는 최근에 새로운 경고를 발행하여 Windows 공통 로그 파일 시스템의 알려진 CVE-2023-28252 취약점의 악용과 관련된 위험이 증가하고 있음을 사이버 방어자들에게 알렸습니다. 이 활성적으로 이용되고 있는 제로 데이는, 위협 행동자들이 권한을 상승시키고 Nokoyawa 랜섬웨어 페이로드를 확산시키기 위해 이용되며, Microsoft에 의해 최근 패치되었습니다. CVE-2023-28252는 CVSSv3 점수로 7.8에 할당되었습니다.

최근에 발견되고 패치된 또 다른 취약점은 Microsoft의 2023년 4월 보안 업데이트에 따라 CVE-2023-21554로 추적되며, Check Point 사이버 보안 연구원들에 의해 QueueJumper로 명명되었습니다. Check Point 사이버 보안 연구원에 따라 이번 보안 결함은 MSMQ 서비스에서 발견된 중요한 RCE 취약점으로, 무단 사용자가 Windows 서비스 프로세스 내에서 임의의 코드를 원격으로 실행할 수 있게 합니다. mqsvc.exe. 공격자들은 TCP 포트 1801을 악용하여 프로세스를 제어할 수 있습니다.

잠재적인 완화 조치로, 사이버 방어자들은 Microsoft의 공식 패치를 신속히 설치할 것을 권장합니다. CVE-2023-28252 and CVE-2023-21554입니다. 또한, 영향받을 가능성이 있는 Microsoft 제품을 사용하는 고객들은 Windows 서버와 클라이언트를 위한 MSMQ 서비스의 사용 가능성을 점검하고 불필요한 공격 표면을 줄이기 위해 잠재적으로 이를 비활성화 해야 합니다. 

SOC Prime을 신뢰하여 임의의 악용 가능한 CVE 및 사이버 공격에서 사용된 모든 TTP에 대해 탐지 콘텐츠로 완전히 무장하십시오. 새로 떠오르거나 확립된 취약점을 즉시 식별하고 악성 행동을 시기 적절하게 조치하기 위해 800개 이상의 규칙에 접근하십시오. 140개 이상의 Sigma 규칙을 무료로 받아보세요 또는 보안 요구에 맞춰 설계된 온디맨드 구독을 선택하여 관련 탐지 알고리즘의 전체 목록에 접근하세요. https://my.socprime.com/pricing/.