Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397)

개요

Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다.

Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인 9.8점을 부여하였다.

취약점 내용

Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 약속 기한이 지났을 때도 아래와 같은 알림이 발생한다.

[그림 1] Outlook 미리 알림 기능

이때 MAPI의 PidLidReminderFileParameter 프로퍼티는 약속 기한이 지나, 지연 알림을 할 때 클라이언트가 재생할 사운드의 파일 경로(UNC)를 지정하는 데 사용된다.

또한 PidLidReminderOverride 프로퍼티는 위 PidLidReminderFileParameter 값을 신뢰할 것인지 설정하는 프로퍼티다.

메일(msg) 내 PidLidReminderFileParameter 값은 공격자가 제어 가능한 SMB 서버로, PidLidReminderOverride 값은 true로 구성하여 전송하면, 수신 받은 상대는 아무런 상호작용 없이 취약점에 노출된다.

[그림 2] 악성 msg를 만드는 PoC 코드 일부

만약 사용자가 위처럼 악의적으로 작성된 메일을 수신할 경우, 재생할 사운드의 파일이 위치하며 공격자가 제어하는 ​​SMB 서버에 인증하도록 강제된다. 결국 NTLM 협상 요청을 통해 NTLM 해시를 훔칠 수 있게 된다.

취약점 영향

MS 3월 정기 보안 업데이트 이전의 모든 Windows용 Microsoft Outlook.

※ Android, iOS, Mac과 같은 다른 버전의 Microsoft Outlook과 웹용 Outlook 및 기타 M365 서비스는 영향을 받지 않음

 

취약점 완화

  1. 보호된 사용자 보안 그룹(Protected Users Security Group)에 유저를 추가하여 NTLM을 인증 메커니즘으로 사용하지 못하도록 한다.
    ※ 위 경우 NTLM이 필요한 애플리케이션에 영향을 미칠 수 있음
  2. 네트워크에서 TCP 445/SMB 아웃바운드를 차단한다.

보다 자세한 완화 방식은 MSRC Mitigations 카테고리를 참고한다.

점검 방법

3월 15일 Microsoft는 CVE-2023-23397 취약점을 악용하는 메시징 항목(메일, 일정 및 작업)이 Exchange 환경 내에 존재하는지 검사하는 스크립트를 공개하였다.

Outlook을 운영하는 조직은 제공된 CVE-2023-23397.ps1 스크립트를 통해 취약점을 악용한 공격이 이루어졌는지 확인할 수 있다.

해당 스크립트가 작동하기 위한 조건은 아래와 같다.

Exchange Server (on-premises)

EMS(Exchange 관리 셸)에서 아래 PowerShell 명령을 실행

New-ThrottlingPolicy “CVE-2023-23397-Script”
Set-ThrottlingPolicy “CVE-2023-23397-Script” -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox -Identity “<UserWhoRunsTheScript>” -ThrottlingPolicy “CVE-2023-23397-Script”

Exchange Online

전역 관리자 또는 응용 프로그램 관리자 권한으로 실행

사용 방법

스크립트는 두 개의 점검 방법을 지원한다.

Audit Mode : 스크립트는 속성이 채워진 항목의 세부 정보가 포함된 CSV 파일을 제공

Exchange Server (on-premises)

Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment Onprem

Exchange Online

Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment “Online”

Cleanup Mode : 스크립트는 속성을 지우거나 항목을 삭제하여 감지된 항목에 대한 정리를 수행

Exchange Server (on-premises)

.\CVE-2023-23397.ps1 -Environment Onprem -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>

Exchange Online

.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>

보다 자세한 점검 방법은 CSS Exchange 홈페이지를 참고한다.

[파일 진단]
Trojan/Msg.Agent (2023.03.17.00)
Exploit/BIN.Agent (2023.03.18.01)
Exploit/MSG.CVE-2023-23397 (2023.03.19.01)
Exploit/BIN.CVE-2023-23397 (2023.03.19.01 )

[IOC]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 

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:조치 가이드

Tagged as:,

5 4 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments