마이크로소프트의 XNUMX월 보안 업데이트에는 희귀한 치명적인 취약점이 포함되어 있지 않습니다. 그러나 이번 주 보안 전문가들은 업데이트에 즉각적인 주의를 기울여야 할 심각한 취약점이 여전히 많이 있다고 말했습니다.
가장 큰 우려 사항은 Windows DNS 서버 원격 코드 실행(RCE) 취약점(CVE-2022-21984), Windows 32K 권한 상승 결함(CVE-2022-21989), SharePoint 서버의 RCE(CVE-2022-22005)입니다. ), 그리고 회사의 영구적으로 안전하지 않은 Windows Print Spooler 기술의 XNUMX가지 취약점 세트가 있으며, 그 중 하나는 이미 익스플로잇이 있습니다.
취약점은 결함 없음 그 이번주 패치된 마이크로소프트. 이로 인해 Microsoft가 잠시 동안 출시한 소규모 월간 보안 업데이트 중 하나가 되었습니다. 예를 들어 지난 달 출시에는 96 가지 취약점, XNUMX월에는 패치가 있었습니다. 결함 없음, Emotet 랜섬웨어를 퍼뜨리는 데 사용되었던 제로데이 결함에 대한 하나를 포함합니다.
Trend Micro ZDI의 커뮤니케이션 관리자인 Dustin Childs는 "이번 달에는 꽤 오랜 시간 동안 처음으로 심각한 수준의 버그가 없었습니다."라고 말했습니다. "51개의 패치 중 50개는 중요, XNUMX개는 보통입니다."라고 그는 말합니다.
확인된 차일드 CVE-2022-21984, Windows DNS Server의 RCE 결함은 조직이 특히 동적 업데이트를 활성화한 경우 우선적으로 패치해야 하는 취약점입니다.
"DNS 서버는 기업의 '왕관' 중 하나이며 매력적인 대상이 됩니다."라고 그는 말합니다.
오늘날 회사가 공개하는 모든 취약성과 마찬가지로 취약성 자체에 대한 Microsoft의 설명은 결함의 성격이나 조직에 미칠 수 있는 위협에 대한 정보를 거의 제공하지 않았습니다. 회사는 이 취약점이 악용될 경우 데이터의 기밀성, 무결성 및 가용성에 큰 영향을 미치는 것으로 설명했을 뿐입니다. 취약점을 악용하는 것은 공격 복잡성이 적고 권한이 낮으며 사용자 상호 작용이 없다고 Microsoft는 말했습니다.
Tripwire의 보안 R&D 관리자인 Tyler Reguly는 "DNS 취약점은 DNS 서버이기 때문에 큰 문제입니다."라고 말합니다. "불행히도 이것은 Microsoft의 구식 정보 게시판에서 오늘날 우리가 얻는 비밀 지침으로 회귀하여 우려가 정확히 어디에 있는지 이해하기 어려운 경우입니다."
더 많은 인쇄 스풀러 '악몽'
보안 전문가들은 또한 조직이 Print Spooler의 XNUMX가지 취약점에 대해 이번 주에 Microsoft가 발표한 패치를 신속하게 적용할 것을 권고합니다. CVE-2022-21999, CVE-2022-22718, CVE-2022-21997및 CVE-2022-22717. 네 가지 취약점 모두 악용될 경우 권한 상승이 가능합니다. 이는 일반적으로 공격자가 결함을 이용하기 위해 이미 시스템을 손상시켜야 함을 의미합니다.
그러나 Windows Print Spooler가 거의 보편화되고 버그가 많기 때문에 공격자가 기술을 자주 표적으로 삼는다는 사실은 조직에서 새로운 결함을 신속하게 패치해야 할 필요성을 높입니다. 이미 이번 주에 공개된 Print Spooler 결함(CVE-2022-21999)에 대한 익스플로잇 코드가 가능.
Immersive Labs의 사이버 위협 연구 책임자인 Kevin Breen은 조직이 Print Spooler 결함으로 인해 직면할 수 있는 노출의 한 예로 작년 XNUMX월의 소위 "PrintNightmare" 취약점을 지적했습니다. PrintNightmare는 거의 모든 Windows 버전에 존재하는 RCE 결함으로 원격 공격자가 취약한 시스템을 완전히 제어할 수 있는 방법을 제공했습니다. 도메인 컨트롤러와 Active Directory 관리 서버를 제어하기 위해 결함을 사용하는 공격자들에 대한 우려로 인해 미국 사이버 보안 및 인프라 보안국(US Cybersecurity and Infrastructure Security Agency)은 조직에 인쇄 스풀러를 비활성화하도록 촉구 모든 중요한 시스템에서.
새로운 Print Spooler 결함 세트와 마찬가지로 Microsoft는 처음에 PrintNightmare를 로컬 공격 벡터로 설명했습니다. 즉, 공격자가 권한을 상승시키려면 이미 표준 사용자 계정에 액세스해야 한다는 의미입니다.
"연구원과 공격자가 [PrintNightmare]를 원격으로 사용하는 방법을 발견하기까지는 그리 오래 걸리지 않았습니다."라고 그는 설명합니다. "아직 결정되지 않았지만, 역사는 우리가 이 가능성을 배제해서는 안된다는 것을 가르쳐주었습니다."
한편, Windows 32 커널 권한 상승 결함(CVE-2022-21989) 결함에 대한 개념 증명 익스플로잇 코드가 이미 사용 가능하게 되었기 때문에 해결하는 것이 중요합니다. Microsoft는 이 결함을 악용될 가능성이 "더 높은" 것으로 평가하고 공격자가 낮은 권한을 사용할 수 있는 방법을 제공합니다. 앱 컨테이너 임의의 코드를 실행하거나 취약한 시스템의 리소스에 액세스할 수 있는 권한을 높입니다.
Ivanti의 제품 관리 부사장인 Chris Goetti는 "무기화된 익스플로잇에 대한 초기 조사 작업의 대부분이 이미 완료되었으며 세부 사항은 위협 행위자가 공개적으로 사용할 수 있습니다."라고 말했습니다.
CVE는 특정 애플리케이션을 실행하도록 설계된 AppContainer에만 해당되며 실행에 필요한 리소스에만 액세스할 수 있도록 허용한다고 Goetti는 덧붙입니다. "AppContainer에서 실행되는 애플리케이션은 이 취약점을 사용하여 AppContainer가 제공하는 권한 이상으로 권한을 높일 수 있습니다."라고 그는 말합니다.
Breen은 또한 SharePoint Server의 RCE 결함을 지적합니다(CVE-2022-22005) Microsoft가 악용될 가능성이 더 높은 것으로 플래그를 지정했습니다. 그는 내부 Wiki 또는 문서 저장소에 SharePoint를 사용하는 조직에서 문제가 될 수 있는 결함으로 설명합니다. 이러한 상황에서 공격자는 이 결함을 악용하여 기밀 정보와 문서를 훔치거나 교체할 수 있다고 그는 말합니다.
희소 취약점 정보
Tripwire의 Reguly는 XNUMX월이 "패치의 수 면에서 확실히 가벼운 달이었다"고 말합니다. 그러나 최신 Microsoft 보안 업데이트는 회사의 더 많은 정보가 조직이 취약성을 더 잘 이해하고 더 나은 컨텍스트에 배치하는 데 도움이 되는 또 다른 예라고 그는 말합니다.
“그것은 우리가 수년 동안 보아온 지속적인 문제입니다.”라고 Reguly는 말합니다. "Microsoft에서 제공한 컨텍스트와 콘텐츠는 요즘 정보를 제공하지 않을 정도로 수년에 걸쳐 침식되었습니다."
예를 들어, 여러 취약점
마이크로소프트 스토어를 가리키는 이달의 권고는 패치 화요일에 사용할 수 있는 업데이트가 없다고 그는 말합니다. Microsoft는 충분한 정보를 공개하지 않은 것에 대해 수년에 걸쳐 여러 번 불려 왔으며 때때로 회사는 취약점에 대한 추가 세부 정보를 추가했습니다.
레귤리는 “불행하게도 마이크로소프트는 지난 몇 년 동안 공개적으로 이용 가능한 정보를 줄였기 때문에 취약성에 대한 데이터를 수집하여 정보에 입각한 결정을 내리는 것이 점점 더 어려워지고 있다는 사실이 현실입니다.”라고 말합니다.
Immersive Labs의 Breen도 이에 동의합니다. "CVE를 게시할 때 어떤 구성 요소가 어떻게 악용되는지에 대한 자세한 기술 세부 정보를 제공하는 설명 필드를 포함하는 것이 일반적입니다."라고 그는 말합니다.
그러나 2020년 XNUMX월 이후로 Microsoft는 CVE 보고서에 이 요약을 포함하는 것을 중단했다고 Breen은 말합니다. 마이크로소프트 당시에 은(는) CVSS(Common Vulnerability Scoring System)에 더 잘 부합하기 위해 새 버전의 보안 업데이트 가이드로 이동한 이유를 설명했습니다.
그러나 Breen은 변화가 도움이 되지 않았다고 말합니다.
"이는 조직이 위험이나 완화를 기반으로 우선 순위를 정하는 것을 훨씬 더 어렵게 만듭니다."라고 그는 말합니다. "대신, 그들은 Microsoft의 단순한 '가능성이 높은 공격' 또는 '가능성이 낮은 공격' 분류에 의존해야 합니다."라고 Breen은 말합니다.
