조치 가이드

Microsoft Office Outlook 취약점(CVE-2023-23397) 발현 및 수동 조치 가이드

AhnLab Security Emergency response Center(ASEC)은 최근 Microsoft Office Outlook 취약점 주의를 알린 바 있다. CVE-2023-23397 취약점은 메일을 받고 알림 발생 시 계정 정보가 유출된다. 유출되는 정보는 시스템에 로그인한 계정의 비밀번호 해싱 정보를 포함한 ‘NTLM’ 해시 값으로, 탈취 시 내부 전파 공격 등에 악용될 수 있다. 취약점에 노출되지 않기 위해서는 반드시 보안 패치 적용이 필요하나, MS Outlook의 ‘미리 알림(Reminder)’ 기능 옵션 해제 시 수동 조치가 가능함을 확인하였다. 아래와 같이 해당 취약점을 일으키는 메일에는 알림 소리 기능이 켜져있으며, 유출 정보가 전달될 악성…

공인 인증 솔루션(MagicLine4NX) 취약점 주의 및 업데이트 권고

취약 소프트웨어 및 개요 MagicLine4NX는 국내 드림시큐리티사에서 제작한 Non-ActiveX 공동인증서 프로그램이다. 사용자는 MagicLine4NX 프로그램을 이용하여 공동인증서 로그인과 거래내역에 대한 전자서명을 할 수 있다. 이 프로그램은 시작 프로그램에 등록되어 있으며, 프로세스가 종료되더라도 특정 서비스(MagicLine4NXServices.exe)에 의하여 재실행되며, 한번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 MagicLine4NX에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다. 패치 대상 및 버전 MagicLine4NX 1.0.0.1~1.0.0.26 버전 취약점 악용…

Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397)

개요 Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다. Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인 9.8점을 부여하였다. 취약점 내용 Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 약속 기한이 지났을 때도 아래와 같은 알림이 발생한다. [그림 1] Outlook 미리 알림 기능 이때 MAPI의 PidLidReminderFileParameter 프로퍼티는 약속 기한이 지나, 지연 알림을 할 때 클라이언트가 재생할 사운드의 파일 경로(UNC)를 지정하는 데 사용된다. 또한 PidLidReminderOverride 프로퍼티는 위 PidLidReminderFileParameter 값을 신뢰할 것인지 설정하는 프로퍼티다. 메일(msg) 내 PidLidReminderFileParameter 값은 공격자가…

자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고

취약 소프트웨어 및 개요 TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할…

공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고

취약 소프트웨어 및 개요 VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.   취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다.   패치 대상 및 버전 VestCert 2.3.6 ~ 2.5.29 버전  …