AhnLab Security Emergency response Center(ASEC)은 최근 Microsoft Office Outlook 취약점 주의를 알린 바 있다.
Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397) – ASEC BLOG
개요 Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다. Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인 9.8점을 부여하였다. 취약점 내용 Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 약속 기한이 지났을 때도 아래와 같은 알림이 발생한다. [그림 1] Outlook 미리 알림 기능 이때 MAPI의 PidLidReminderFileParameter 프로퍼티…
CVE-2023-23397 취약점은 메일을 받고 알림 발생 시 계정 정보가 유출된다. 유출되는 정보는 시스템에 로그인한 계정의 비밀번호 해싱 정보를 포함한 ‘NTLM’ 해시 값으로, 탈취 시 내부 전파 공격 등에 악용될 수 있다.
취약점에 노출되지 않기 위해서는 반드시 보안 패치 적용이 필요하나, MS Outlook의 ‘미리 알림(Reminder)’ 기능 옵션 해제 시 수동 조치가 가능함을 확인하였다.
아래와 같이 해당 취약점을 일으키는 메일에는 알림 소리 기능이 켜져있으며, 유출 정보가 전달될 악성 주소를 확인할 수 있다.
수동 조치 방법은 다음과 같다.
- 옵션 > 고급 > 미리 알림 > ‘미리 알림 표시’ 체크 해제
해당 기능을 끄면 알림 기능을 사용할 수 없게 되지만, 취약점이 발현되지 않아 피해를 예방할 수 있다. 단 해당 메일을 열어 ‘다음 소리 재생(Play this sound)’을 체크하고 소리를 재생할 시 취약점이 발현될 수 있어 주의가 필요하다.
Microsoft 365(Outlook 365)버전의 경우 미리 알림 기능의 위치는 아래와 같다.
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:조치 가이드