마이크로소프트는 최근 패치된 아웃룩 취약점과 관련된 IoC(Indicator of Compromise)를 발견할 수 있도록 지침을 공유했다.

CVE-2023-23397(위험도 9.8)는 치명적인 취약점으로 NTLM(NT Lan Manager) 해시를 훔치고 사용자 개입 없이 릴레이 공격을 수행하는 데 악용될 수 있는 권한 상승 사례와 관련이 있다.

마이크로소프트는 이번 달 발표된 권고문에서 "외부 공격자는 피해자로부터 공격자가 통제할 수 있는 신뢰할 수 없는 위치로 연결되도록 특수 제작된 이메일을 보낼 수 있다. 이렇게 하면 피해자의 Net-NTLMv2 해시가 신뢰할 수 없는 네트워크로 유출되어 공격자가 다른 서비스로 전달하고 피해자로 인증할 수 있다."고 설명했다.

이 취약점은 2023년 3월 패치 업데이트의 일부로 마이크로소프트에 의해 해결되었지만, 패치되기 전에 러시아에 기반을 둔 위협 행위자가 유럽의 정부, 운송, 에너지 및 군사 부문을 대상으로 하는 공격에서 결함을 무기화해 사용한 것으로 확인됐다. 

마이크로소프트 사고 대응팀은 지난 2022년 4월부터 이 단점이 악용되었을 수 있다는 증거를 찾았다고 밝혔다.

마이크로소프트가 설명하는 한 공격 체인에서 성공적인 Net-NTLMv2 Relay 공격을 통해 공격자는 익스체인지 서버에 대한 무단 액세스 권한을 얻고 영구 액세스를 위해 사서함 폴더 권한을 수정할 수 있었다.

그런 다음 손상된 이메일 계정은 동일한 조직의 다른 구성원을 대상으로 추가 악성 메시지를 전송하여 손상된 환경 내에서 공격자의 액세스를 확장하는 데 사용되었다.

마이크로소프트는 "NTLMv2 해시를 활용해 리소스에 대한 무단 액세스 권한을 얻는 것은 새로운 기술이 아니지만 CVE-2023-23397의 악용은 새롭고 은밀하다."고 말했다.

마이크로소프트는 고객에게 온프레미스 익스체인지 서버를 최신 상태로 유지하고 잠재적인 위협을 완화하기 위해 네트워크를 강화하는 조치를 취할 것을 촉구했다.

★정보보안 대표 미디어 데일리시큐!