IT/영어 공부노트

모니커링크 취약점(CVE-2024-21413) 본문

🛡️ security/CVE

모니커링크 취약점(CVE-2024-21413)

소저어엉 2024. 9. 30. 14:49
반응형

| 모니커링크 취약점(CVE-2024-21413)란?

Microsoft Outlook에서 발견된 제로데이 취약점이다. Microsoft의 프로텍티드 뷰를 우회할 수 있는 취약점을 이용해 주요 타겟에게 피싱 메일을 전송하여 NTLMv2해시를 얻는 공격이다.

 

우선, Microsoft의 프로텍티드 뷰가 무엇인지 알아보자!

 

| 프로텍티드 뷰란?

Microsoft Office의 자체 기능으로, 악의적인 외부 컨텐츠가 임의로 실행되는 것을 방지한다. (샌드박스 개념!!) 한국어로는 제한된보기! 흔히 엑셀이나 워드 파일도, 다운받았을 시 제한된 보기로 열리는 경우도 이에 해당한다. 아웃룩은 사용을 하지 않아 몰랐으나 의심되는 하이퍼링크가 삽입된 경우, 아래와 같은 경고창이 뜬다고 한다.

 

 

아웃룩 하이퍼링크에는 (file://) 구문을 통해 파일 또한 첨부 가능한데, Outlook에서 하이퍼링크를 통해 파일에 액세스하려고 하면 SMB 프로토콜이 사용된다. 이 과정에서 피해 컴퓨터는 자동으로 NTLMv2 인증을 사용하여 공격자 컴퓨터에 대한 인증을 시도한다.

일반적으로, 악성콘텐츠가 첨부되어 있다면, 프로텍티드 뷰에 의해 중지되어야 하는데, 모니커링크 취약점은 이 프로텍티드뷰를 우회하는 것 이다.

 

※ NTLMv2

네트워크 시간 잠금 및 로그인 메커니즘(또는 NTLMv2)은 Windows 네트워크 환경에서 클라이언트와 서버 간의 인증에 주로 사용되는 인증 프로토콜입니다.

 

공격방법

이 취약점은 모니커 링크에 “!” 특수 문자와 일부 텍스트를 포함하도록 하이퍼링크를 수정하여 Outlook 우회하는 방식이다.

사용자의 하이퍼 링크에 대한 클릭 없이도 메일만 열어보면 윈도우 PC의 NTLM 인증 해시가 유출될 수 있고, 사용자가 메일의 링크를 클릭하면 원격 코드 실행(RCE)이 가능하게 된다.

MkParseDisplayName 이라는 API가 문제의 근원으로, 같은 API를 사용하는 모든 소프트웨어들이 위험할 수 있다.

 

 


TryHackMe | Moniker Link (CVE-2024-21413)

 

Moniker Link (CVE-2024-21413)

Leak user's credentials using CVE-2024-21413 to bypass Outlook's Protected View.

tryhackme.com

트핵미 룸도 나왓다! 해봐야지 ~ 

참조

https://www.boannews.com/media/view.asp?idx=126710&direct=mobile

제한된 보기란 무엇입니까? - Microsoft 지원

CVE-2024–21413 Explained. Microsoft announced a vulnerability in… | by MoRoMeR | Medium

반응형