Microsoft Outlook 제품 보안 업데이트 권고

개요

최근, Microsoft 사는 Windows용 Outlook 제품에서 발생하는 권한 상승 취약점(CVE-2023-23397)에 대한 패치를 공개했다. 

해당 취약점은 Windows용 Outlook 제품의 작업 리마인더 기능에서 재생할 사운드 파일을 사용자 임의로 지정할 수 있어 발생한다. 공격자는 이 취약점을 악용한 메일을 전송해 대상 장치에서 원격 SMB (TCP 445) 서버와 연결을 시도하고, 사용자의 Net-NTLMv2 해시를 탈취할 수 있다. 

이후, Outlook 사서함의 권한을 변경해 해당 계정의 이메일을 유출할 수 있으므로, 신속한 보안 조치 적용을 권고한다.

 

기술

 

해결방안

제조사 홈페이지를 참고하여 취약점이 해결된 최신 버전으로 업데이트를 적용하거나, 다음의 완화 조치를 따른다.

- NTLM 비활성화

    Active Directory의 Protected Users 보안 그룹에 사용자를 추가한다.

- SMB 포트 비활성화

    방화벽 설정에서 아웃바운드 TCP 445 포트 차단 규칙을 생성한다.

 

또한, Microsoft에서 제공하는 Exchange 검색 스크립트를 활용해 취약한 속성에 존재하는 문자열을 검색하고 정리할 수 있다. 이와 관련한 더 자세한 정보 및 해결 방안은 업체의 공식 문서를 참고할 것을 권고한다.

 

참고자료

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/