IT/영어 공부노트
모니커링크 취약점(CVE-2024-21413) 본문
| 모니커링크 취약점(CVE-2024-21413)란?
Microsoft Outlook에서 발견된 제로데이 취약점이다. Microsoft의 프로텍티드 뷰를 우회할 수 있는 취약점을 이용해 주요 타겟에게 피싱 메일을 전송하여 NTLMv2해시를 얻는 공격이다.
우선, Microsoft의 프로텍티드 뷰가 무엇인지 알아보자!
| 프로텍티드 뷰란?
Microsoft Office의 자체 기능으로, 악의적인 외부 컨텐츠가 임의로 실행되는 것을 방지한다. (샌드박스 개념!!) 한국어로는 제한된보기! 흔히 엑셀이나 워드 파일도, 다운받았을 시 제한된 보기로 열리는 경우도 이에 해당한다. 아웃룩은 사용을 하지 않아 몰랐으나 의심되는 하이퍼링크가 삽입된 경우, 아래와 같은 경고창이 뜬다고 한다.
아웃룩 하이퍼링크에는 (file://) 구문을 통해 파일 또한 첨부 가능한데, Outlook에서 하이퍼링크를 통해 파일에 액세스하려고 하면 SMB 프로토콜이 사용된다. 이 과정에서 피해 컴퓨터는 자동으로 NTLMv2 인증을 사용하여 공격자 컴퓨터에 대한 인증을 시도한다.
일반적으로, 악성콘텐츠가 첨부되어 있다면, 프로텍티드 뷰에 의해 중지되어야 하는데, 모니커링크 취약점은 이 프로텍티드뷰를 우회하는 것 이다.
※ NTLMv2
네트워크 시간 잠금 및 로그인 메커니즘(또는 NTLMv2)은 Windows 네트워크 환경에서 클라이언트와 서버 간의 인증에 주로 사용되는 인증 프로토콜입니다.
공격방법
이 취약점은 모니커 링크에 “!” 특수 문자와 일부 텍스트를 포함하도록 하이퍼링크를 수정하여 Outlook 우회하는 방식이다.
사용자의 하이퍼 링크에 대한 클릭 없이도 메일만 열어보면 윈도우 PC의 NTLM 인증 해시가 유출될 수 있고, 사용자가 메일의 링크를 클릭하면 원격 코드 실행(RCE)이 가능하게 된다.
MkParseDisplayName 이라는 API가 문제의 근원으로, 같은 API를 사용하는 모든 소프트웨어들이 위험할 수 있다.
TryHackMe | Moniker Link (CVE-2024-21413)
Moniker Link (CVE-2024-21413)
Leak user's credentials using CVE-2024-21413 to bypass Outlook's Protected View.
tryhackme.com
트핵미 룸도 나왓다! 해봐야지 ~
참조
https://www.boannews.com/media/view.asp?idx=126710&direct=mobile
CVE-2024–21413 Explained. Microsoft announced a vulnerability in… | by MoRoMeR | Medium