2020년 후반 SolarWinds 공급망 공격과 광범위한 Log4j 취약성으로 마감된 XNUMX년 동안 보안 팀은 지속적으로 위협을 처리하고 우선 순위를 지정했습니다. 그리고 그 사이에는 월간 패치 화요일 업데이트가 있습니다.
마이크로소프트 보안 대응 센터의 부사장인 안찰 굽타는 마이크로소프트가 2021년에 패치한 취약점이 2020년보다 적었지만 883년에는 2021개의 버그를 수정했다고 밝혔습니다. 이들 중 일부는 광범위한 착취를 초래했습니다. 일부는 더 큰 관심을 끌었고, 다수는 보안 팀이 내년에 주목해야 할 트렌드와 패턴을 반영합니다.
2021년 XNUMX월에 공개 및 패치된 가장 기억에 남는 취약점은 Microsoft Exchange Server의 온프레미스 버전에 존재하는 취약점이었습니다. 당시 그 취약점 보고, 마이크로소프트는 이들이 국가 후원을 받고 중국에서 운영되는 하프늄(Hafnium)이라는 그룹이 수행한 "제한된 표적" 공격에 사용되었다고 밝혔습니다.
It 오래 걸리지 않았다 보안 커뮤니티에서 Exchange Server를 대상으로 하는 악의적인 활동의 배후에는 여러 위협 그룹이 있을 가능성이 있다고 보고했습니다. "낮고 느린" 활동이 수만 개의 조직과 함께 많은 소음으로 빠르게 확대되었습니다. 영향을받은. Immersive Labs의 사이버 위협 연구 책임자인 Kevin Breen은 Exchange Server 공격에 대해 "정말 빠르게 눈덩이처럼 불어났습니다."라고 말했습니다. 지능형 지속적 위협 그룹이 취약점을 악용한 지 몇 주 만에 사이버 범죄 그룹도 이를 채택하기 시작했습니다.
패치를 출시하는 것 외에도 Microsoft는 당시 생산
일부 이전 및 지원되지 않는 누적 업데이트에 적용할 추가 보안 업데이트 시리즈. 이 경우에는 필요했지만 Gupta는 고객이 패치를 적용하지 못하도록 하기 때문에 "우리는 그렇게 하는 것을 선호하지 않습니다"라고 말합니다.
굽타는 "하프늄과 같은 위협 행위자는 교묘합니다. “그들은 스캔을 하고 있습니다. 그들은 제 시간에 패치를 적용하지 않는 사람을 뒤쫓을 것입니다.”
그러나 많은 조직에서 패치 적용이 까다로웠습니다. 일부는 이전 버전의 Exchange Server를 실행하고 있었고 패치할 IT 팀이 없었습니다. 일부는 패치할 준비가 되지 않았습니다. 회사는 완화 도구를 출시했는데 굽타는 기업이 스스로를 보호하기 위해 사용할 수 있는 XNUMX단계가 포함된 스크립트로 설명합니다.
보안 팀을 위한 "악몽"
보안 팀은 나중에 PrintNightmare, 원격으로 악용 가능한 버그 모든 버전의 Windows에 영향을 미칩니다. OS와 프린터 사이의 인터페이스 역할을 하고 프린터 드라이버 로드 및 인쇄 작업 주문과 같은 작업을 처리하는 Windows 인쇄 스풀러 서비스에 존재합니다. 이 결함은 인증된 공격자가 Active Directory 관리 서버 및 핵심 도메인 컨트롤러도 포함하는 취약한 시스템에 대한 시스템 수준 액세스 권한을 얻을 수 있도록 하고 코드를 실행하고, 맬웨어를 다운로드하고, 새 사용자 계정을 생성하거나, 데이터를 보고, 변경하고, 삭제할 수 있게 합니다. .
그러나 PrintNightmare 패치에는 자체적인 문제가 있다고 Trend Micro의 Zero-Day Initiative의 커뮤니케이션 책임자인 Dustin Child는 말합니다. "문제가 심각하고 광범위했을 뿐만 아니라(확실히 그랬기 때문에) 수정 사항에도 문제가 있었습니다. 수정 사항이 나온 후 수정 사항이 나왔습니다."
그리고 일부 수정 사항이 모든 문제를 해결하지 못했기 때문에 지속적인 문제가 되었습니다. 취약점이 처음 공개된 후 Microsoft는 새로운 CVE 및 이에 대한 해결 방법.
차일즈는 Exchange Server 결함이나 PrintNightmare가 더 심각한지 여부에 대해 계속해서 이야기합니다. 궁극적으로 그는 Exchange Server 버그가 앞으로 몇 년 동안 지속될 수 있는 광범위한 영향을 미친다고 말합니다.
"우리는 여전히 그 영향이 얼마나 광범위한지 정확히 알지 못하며 Exchange를 패치하기가 매우 어렵기 때문에 패치되지 않은 Exchange Server가 여전히 많이 있을 것입니다."라고 Childs는 설명합니다. Exchange Server를 온-프레미스로 실행하는 중간 규모 기업의 경우 특히 그렇습니다. "아직 작동 중이니 만지지 마십시오"라는 사고방식이 존재하는 이유는 직원들이 패치가 깨질 수 있거나 패치에 문제가 있을 수 있다는 두려움 때문입니다.
주목받는 더 많은 Vulns
Exchange Server와 PrintNightmare 취약점이 가장 눈에 띄었지만 보안 팀이 올해 걱정한 유일한 버그는 아닙니다. Virsec CTO Satya Gupta는 Microsoft 인터넷 정보 서비스용 HTTP 프로토콜 스택의 원격 코드 실행(RCE) 취약점인 CVE-2021-31166을 CVSS 3.0 점수 9.8의 두드러진 결함으로 지적했으며 웜 가능한 것으로 간주되었습니다.
다른 하나는 CVE-2021-28476으로, 게스트 가상 머신이 Hyper-V 호스트의 커널이 임의적이고 잠재적으로 유효하지 않은 주소에서 읽도록 하는 Hyper-V의 RCE 버그입니다. Virsec의 Gupta는 "모든 Azure 상자는 Hyper-V와 함께 실행됩니다. “Hyper-V에 취약점이 있으면 모든 사람의 상자가 문제가 됩니다. 모두의 상자가 취약해집니다.”
그는 이 결함의 문제를 복잡하게 만드는 것은 개념 증명 코드의 가용성이라고 지적합니다. 공격자는 패치가 적용되기 전에 개념 증명에 액세스할 수 있으므로 취약한 조직에 더 큰 위험을 제공하기 때문에 이는 "정말, 정말 불쾌한" 상황을 만듭니다.
때때로 취약점은 처음 공개되었을 때 많은 관심을 끌지 못하다가 나중에 더 긴급한 상황이 됩니다. Immersive Labs의 Breen은 Active Directory 도메인 서비스의 권한 승격 취약성인 CVE-2021-42287이 그러한 경우라고 말했습니다. 이것은 XNUMX월에 패치되었으며 Microsoft에 의해 "가능성이 낮은 공격"으로 분류되었습니다. 바로 지난 주에 개념 증명 익스플로잇 코드가 온라인에 게시되었습니다.
그는 OMI(Open Management Infrastructure)의 2021가지 취약점을 XNUMX년의 주목할만한 버그로 발견한 Wiz 연구원들이 총칭하여 OMIGOD라고 부릅니다. OMI는 널리 사용되지만 널리 사용되는 많은 Azure 서비스에 포함된 거의 알려지지 않은 소프트웨어 에이전트입니다. Azure를 사용하는 대부분의 조직이 영향을 받았습니다. 하나는 RCE였습니다. 세 가지는 특권 상승이었다.
Childs는 종종 간과되지만 보안 팀의 더 세심한 주의를 기울여야 하는 취약성의 범주로 로컬 권한 상승을 지적합니다. 이들 중 다수가 다양한 Windows 구성 요소에 나타나 맬웨어에 포함된 다음 악용된다고 그는 말합니다. 그는 로컬 권한 상승 자체가 그다지 흥미롭지 않지만 이러한 결함이 다른 취약점과 결합될 때 "누군가의 시스템을 인수하는 데 절대적으로 효과적"이 될 수 있다고 덧붙였습니다.
“사용되고 있는 버그를 찾아 수정하는 데 집중해야 하는 부분 중 하나이며 LPE 버그가 악의적인 사용자에게 사용되고 있으므로 이러한 버그를 처리해야 합니다. "라고 그는 말한다. 중요하지 않거나 CVSS 점수가 낮은 버그라도 공격자가 시스템을 인수하려는 경우 위협이 될 수 있습니다.
Breen은 또한 권한 상승 취약점이 지난 해에 발생한 많은 공격의 "핵심 부분"이었다고 언급하면서 이러한 추세를 강조합니다. 많은 공격자들은 RCE 결함을 사용하지 않고 대신 소셜 엔지니어링, 무차별 대입 RDP 또는 피싱을 선택하여 사용자 액세스 권한을 얻습니다.
"제로 데이 RCE로부터 항상 보호할 수는 없지만 사용자를 보호하고 권한 상승 공격을 완화하기 위해 할 수 있는 일은 많기 때문에 이러한 사항은 정말 중요합니다."라고 그는 덧붙입니다.
수비수를 위한 진화하는 도전
패치 적용에는 몇 달 또는 몇 년 후에 보안 팀에 도전 과제가 될 수 있는 몇 가지 경향이 있습니다. 차일즈는 자신이 "패치 갭"이라고 부르는 것을 예로 지적합니다. 패치는 제품 A에 사용할 수 있지만 제품 A를 소비하는 다른 제품은 해당 패치를 적절한 속도로 또는 전혀 배포하지 않고 있다고 그는 말합니다.
그는 구글 크롬을 예로 들었다. "저는 과거에 볼 수 있었던 것보다 훨씬 더 많은 버그가 Chrome을 통해 발생하는 것을 보고 있습니다."라고 Child는 말합니다. Chrome은 안전한 브라우저로 명성이 높지만 사람들이 Chromium에서 실행되는 제품의 수를 간과할 수 있다고 말합니다. "Chrome 기반의 모든 것이 이러한 패치를 흡수하고 보호되기까지 얼마나 걸립니까?" 그는 덧붙인다. Chrome 업데이트 릴리스와 Edge Chromium 업데이트 출시 사이의 지연은 위험을 초래할 수 있습니다.
오픈 소스 라이브러리에도 동일한 문제가 있습니다. 라이브러리는 업데이트를 릴리스할 수 있지만 라이브러리를 사용하는 모든 항목은 주의를 기울이는 정도에 따라 업데이트되지 않을 수 있습니다. 이 문제의 영향은 제품에 따라 다를 수 있다고 그는 말합니다.
차일즈는 “'패치 갭'이 더 널리 퍼졌고 사람들은 마침내 밀접하게 모니터링되지 않는 공유 리소스가 있다는 것을 이해하기 시작했습니다. 조직은 업데이트가 사용되었는지 확인하기 위해 가져오는 라이브러리를 모니터링해야 하지만 패치해야 하는 모든 것을 수행하기는 어렵습니다.
이는 기업 보안에서 또 다른 문제로 이어집니다. 많은 IT 및 보안 팀은 사용하는 제품의 양이 많고 범위가 넓기 때문에 얼마나 많은 패치를 배포해야 하는지 모릅니다. 업데이트할 모든 제품과 서비스를 나열하는 중앙 집중식 위치는 없습니다. 그들은 자동 업데이트로 인해 문제가 발생하지 않을까 두려워합니다. 팀은 자금 부족과 압박을 받는 경우가 많습니다.
"패치 관리 문제는 더욱 커질 것입니다."라고 차일즈는 말합니다.
관찰해야 할 또 다른 추세는 버그가 릴리스된 후 특정 제품 및 서비스에 대한 관심이 증가한다는 것입니다. 주요 버그가 나타나고 특히 공격을 받고 있는 경우 다음 달에는 동일한 제품에 추가 결함이 패치될 것입니다. "그것은 초점을 끕니다."라고 그는 말합니다. 연구자들은 한 가지 문제가 있다면 아마도 더 있을 것이라고 믿습니다. 이것은 Exchange Server 및 PrintNightmare 취약점이 발생한 후 몇 달 동안 발생했습니다.
올해 출시된 패치의 수는 감소했지만 Microsoft의 굽타는 2022년에 더 많은 작업이 완료되어야 한다고 말합니다. 공급망 위험은 여전히 존재하며 조직이 해결해야 하는 버그가 점점 더 많아질 것이라고 그녀는 말합니다. 보안 커뮤니티의 파트너와 협력하는 것이 도움이 되었으며 특히 Microsoft의 버그 포상금 프로그램을 통해 Gupta는 13명 이상의 연구원에게 버그 포상금으로 14만~300만 달러를 지급했다고 말했습니다.
내부적으로 가치가 있는 것으로 입증된 것은 문제가 발생한 후 상황을 개선할 수 있는 방법을 확인하기 위해 잠시 멈추고 반성하고 있습니다. 굽타는 다음과 같이 덧붙입니다. "우리는 항상 그 문제가 다시는 발생하지 않도록 방지할 방법을 찾고 있습니다."
