Home > 전체기사
2년 전 나타난 MS 아웃룩 취약점, 여전히 공격자들의 사랑 받아
  |  입력 : 2019-12-05 10:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아웃룩의 홈페이지 기능에서 발견된 취약점...CVE-2017-11774
이란의 공격자들 패치 전 상태로 되돌리는 방법 발견해...공격은 아직도 이어져


[보안뉴스 문가용 기자] 마이크로소프트 아웃룩에서 2년 전 발견된 취약점이 여전히 많은 기업들을 괴롭히고 있다고 한다. 이 취약점을 익스플로잇 할 경우, 공격자들은 피해자의 시스템에 오랜 시간 머무르며 임의의 코드를 실행시킬 수 있게 된다. 이 문제와 관련해 보안 업체 파이어아이(FireEye)가 권고문을 발표했다.

[이미지 = iclickart]


문제가 되는 취약점은 ‘마이크로소프트 아웃룩 시큐리티 기능 우회 취약점(Microsoft Outlook Security Feature Bypass Vulnerability)’이라고 하며, CVE-2017-11774라는 관리 번호가 붙었었다. 아웃룩의 홈페이지 기능에서 발견된 것이며, MS 측에서 2017년 10월에 패치를 발표했다. 익스플로잇에 성공하면 아웃룩 클라이언트 홈페이지가 열릴 때마다 코드를 실행시킬 수 있게 된다.

패치가 2년 전에 나왔고, 실제 많은 기업들이 패치를 적용한 것으로 알려져 있지만, 공격자들은 여전히 이 취약점을 애용하고 있다고 파이어아이는 밝혔다. “공격자들이 2년 전에 나온 픽스를 우회하기 시작했거든요. 미리 침해한 시스템이라면, 패치가 된 아웃룩 클라이언트라도 공격이 가능합니다.” 파이어아이의 수석 관리자인 매튜 맥훠트(Matthew McWhirt)의 설명이다.

“2년 전 패치된 취약점이 지금까지도 높은 인기를 유지하고 있는 건 패치를 하지 않은 사용자들이 많거나, 패치로 마련된 보호 장치도 공격자들이 뚫어버렸다는 뜻입니다. 아웃룩 취약점의 경우는 후자에 속합니다. 공격자들이 엔트포인트의 레지스트리를 조작함으로써 보호 장치들을 피해가기 시작했습니다.”

지난 7월 미군은 이란의 사이버 정찰 단체가 아웃룩의 취약점을 통해 미국, 유럽, 중동의 조직과 인물들을 공격하고 있다는 내용의 경고를 발표했었다. 파이어아이도 이란의 해킹 단체인 APT33과 APT34가 이 취약점을 활용해 공격을 실시하고 있다는 보고서를 낸 적이 있다. APT33은 엘핀(Elfin)이라는 이름으로도 불리며, 미국, 사우디아라비아, 한국의 정부 기관을 주로 공격하는 것으로 알려져 있다. APT34는 헬릭스 키튼(Helix Kitten)이라고도 불리며, 중동의 정부 기관 및 금융 기관 등을 주력으로 노린다.

문제의 두 단체는 위의 아웃룩 취약점을 공격에 적극 활용한다는 공통점을 가지고 있다. 특히 다른 방법으로 미리 침해해 둔 시스템에서 공격 지속성을 확보하는 데에 이 취약점을 사용한다고 한다. 최근 바이러스토탈(VirusTotal)에는 이 취약점을 자동으로 익스플로잇 해주는 요소가 포함된 사이버 공격에 관한 소식이 올라오기도 했었다.

“APT33과 34는 예나 지금이나 아웃룩 취약점을 즐겨 활용하는 단체입니다. 최근에 갑자기 증가한 것도 아니에요. 예전부터 꾸준했어요. 지금 저희가 이러한 현상에 대해 새롭게 발표하는 건, 아웃룩을 최신화 했다고 해서 안심하면 안 된다는 걸 전달하기 위해서입니다. 지금 아웃룩은 위험한 상태입니다. 가장 최신 버전이 설치되어 있더라도요.”

바이러스토탈에 올라온 소식에 따르면 “공격자들은 웹뷰(WebView) 레지스트리 키를 조작해 외부의 클라우드 스토리지와 연결된 URL 주소를 심는다”고 한다. “그렇게 하고 나서는 여러 가지 조작을 통해 패치가 되지 않은 상태로 되돌릴 수 있습니다. 바이러스토탈에 올라온 소식은 사실일 가능성이 높아 보이며, 실력이 뛰어난 레드 팀 전문가가 익명으로 올렸을 가능성이 높습니다.”

그렇다면 아웃룩을 사용하는 조직들은 이러한 공격에 어떻게 대처해야 할까? “공격자들이 사용하는 레지스트리 키들에 특정 값들을 적용하거나, 윈도우의 그룹 정책 객체(Group Policy Objects, GPO)를 활용하는 것이 좋습니다.” 파이어아이는 이번 보고서를 통해 다양한 방어법을 제시하기도 했다.

파이어아이는 “이러한 문제가 발생하게 된 건 MS가 패치를 잘못했기 때문이라고 말하기 힘들다”는 입장이다. “공격자들이 패치를 되돌리려면 반드시 다른 방법을 통해 시스템에 먼저 침투한 상태여야 합니다. 그렇다는 건 패치 자체가 실패라고 말할 수 없다는 뜻이죠. 다만 패치를 했음에도 이런 문제가 발생할 수 있었다는 걸 MS가 적극적으로 알리지 못한 부분은 있습니다.”

3줄 요약
1. 2년 전 나타나 패치된 아웃룩 취약점, 여전히 활용되고 있음.
2. 레지스트리 조작해 패치를 되돌리는 방법이 개발되었기 때문.
3. 이란의 해킹 단체 둘이 이 취약점을 가장 애용함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)