데이터 보안 기업 바로니스(Varonis)가 최근 발견한 새로운 취약점과 정교한 공격 방법 세 가지가 공개돼 마이크로소프트 아웃룩(Microsoft Outlook) 및 특정 윈도우 프로그램과 관련된 위험성이 드러났다. 이 취약점으로 인해 사용자는 원격 서버에 사용자를 인증하는 데 중요한 프로토콜인 NTLM v2 해시가 손상될 위험에 노출될 수 있다.

CVE-2023-35636은 현재 마이크로소프트에서 심각도 등급을 '중요'로 지정한 취약점이다.

지난 2023년 12월 화요일 패치 업데이트를 통해 이 문제를 즉시 해결해 이 취약점이 초래하는 위험의 심각성을 강조했다. 그러나 바로니스는 심각도 등급이 '보통'으로 지정된 추가 문제가 여전히 패치되지 않아 사용자가 잠재적으로 악의적인 공격에 노출되어 있다고 보고했다.

이 취약점을 악용하는 방법은 아웃룩의 일정 공유 기능을 교묘하게 조작하는 것이다. 공격자는 정교하게 조작된 이메일을 아웃룩 사용자에게 보낸다. 두 개의 특정 헤더가 포함된 이 이메일은 아웃룩이 해당 메시지를 콘텐츠 공유로 인식하도록 속이고 피해자의 세션을 공격자가 제어하는 서버로 리디렉션한다.

악성 이메일에서 '이 캘린더 열기'를 클릭하면 피해자의 디바이스가 공격자의 서버에서 구성 파일을 가져오도록 유도하고, 인증 프로세스 중에 NTLM 해시가 노출된다.

두 번째 공격 수단은 개발자가 일반적으로 사용하는 도구인 WPA(윈도우 성능 분석기)를 악용하는 것이다.

바로니스 연구원들은 WPA 내의 고유한 URI 핸들러가 오픈 인터넷에서 NTLM v2를 사용하는 링크를 처리해 잠재적으로 NTLM 해시를 노출시킨다는 사실을 발견했다. 공격자는 이를 악용해 피해자를 공격자가 제어하는 서버에서 호스팅되는 악성 WPA 페이로드로 리디렉션하도록 설계된 링크가 포함된 이메일을 보낼 수 있다.

주로 개발자 컴퓨터에서 발견되는 WPA와 달리, 세 번째와 네 번째 공격 방법은 널리 사용되는 윈도우 파일 탐색기를 사용하는 것이다. 이 도구는 모든 윈도우 컴퓨터에 존재하기 때문에 공격 대상은 엄청난 규모가 될 수 있다.

공격 방법을 정리해 보면 다음과 같다.

공격자가 이메일, 소셜 미디어 또는 기타 채널을 통해 악성 링크를 보낸다. 타깃이 링크를 클릭하면 공격자는 해시를 획득할 수 있고, 이후 공격자는 사용자의 비밀번호 해독을 시도할 수 있다.

마찬가지로 공격자는 악성 링크를 통해 파일 탐색기를 악용할 수 있다. 피해자가 링크를 클릭하면 공격자는 해시를 획득해 무단 액세스할 수 있다.

바로니스는 "해시가 크랙되고 비밀번호가 노출되면 공격자는 이를 사용해 조직에 사용자로 로그인할 수 있다. 이 페이로드를 통해 explorer.exe는 확장자가 .search-ms인 파일을 쿼리하려고 시도한다."고 설명했다.

이러한 취약점의 심각성과 민감한 정보에 대한 무단 액세스 가능성을 고려할 때 사용자는 마이크로소프트의 최신 보안 업데이트를 즉시 적용할 것을 권고하고 있다. 또한 피싱, 특히 일정 공유 및 악성 링크와 관련된 피싱 공격에 대한 인식을 강화하는 것이 중요하다고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★