중요한 Microsoft Outlook RCE 버그가 공격에서 적극적으로 악용됨

사이버 보안 회사 Check Point가 Microsoft Outlook에서 심각한 원격 코드 실행(RCE) 취약점을 발견했으며, 이는 현재 진행 중인 사이버 공격에서 악용되고 있어 전 세계 조직에 상당한 위협이 되고 있습니다.

이로 인해 사이버 보안 및 인프라 보안국(CISA)은 미국 연방 기관에 이러한 지속적인 공격에 대비하여 시스템을 보호할 것을 경고했습니다.

Check Point의 취약점 연구원 Haifei Li는 CVE-2024–21413( CVSS 점수 9.8)으로 추적되는 고위험 RCE 취약점을 발견했습니다.

이 결함은 부적절한 입력 검증으로 인해 발생하며, 취약한 Microsoft Outlook 버전을 사용하여 악성 링크가 포함된 이메일을 열 때 코드 실행을 유발할 수 있습니다.

이 취약점이 성공적으로 악용되면 위협 행위자가 Office 보호 보기(Protected View)를 우회하고 보호 모드가 아닌 편집 모드에서 악성 파일을 열 수 있게 됩니다.

또한 위협 행위자에게 데이터 읽기, 쓰기 및 삭제를 포함한 상승된 권한을 부여할 수 있습니다.

Microsoft는 1년 전 CVE-2024–21413 취약점을 해결했으며, 미리 보기 창(Preview Pane) 자체가 공격 벡터가 될 수 있다고 경고했습니다.

그 결과, Outlook 내에서 악성 이메일을 단순히 보는 것만으로도 악용이 발생할 수 있어 매우 위험합니다.

Check Point에 따르면, 공격자들은 Moniker Link라는 이름의 취약점을 악용하여 Outlook이 안전하지 않은 파일을 열도록 속입니다.

이로 인해 위협 행위자는 파일:// 프로토콜을 사용하는 이메일에 포함된 악성 링크에 대한 Outlook의 내장 보호 기능을 우회할 수 있습니다.

공격자는 파일 URL에 임의의 텍스트 뒤에 느낌표를 추가하여 Outlook이 악성 파일을 신뢰할 수 있는 리소스로 간주하도록 조작할 수 있습니다.

예를 들어, 공격자는 아래와 같이 링크를 만들 수 있습니다:

여기를 클릭하세요

피해자가 링크를 클릭하면 Outlook은 공격자의 서버에서 파일을 검색하고 상승된 권한으로 실행하여 공격자에게 시스템에 대한 제어 권한을 부여합니다.

CVE-2024-21413 취약점은 Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 및 Microsoft Office 2019를 포함한 여러 Microsoft Office 제품에 영향을 미쳤습니다.

이 취약점의 적극적인 악용에 대응하여 CISA는 CVE-2024-21413을 알려진 악용 취약점(KEV) 카탈로그에 추가했습니다.

2021년 11월 Binding Operational Directive(BOD) 22-01에 따라 연방 기관은 시스템을 패치하고 잠재적인 위협으로부터 네트워크를 보호할 수 있도록 2025년 2월 27일까지 시간을 부여받았습니다.

“이러한 유형의 취약점은 악의적인 사이버 행위자에게 빈번한 공격 벡터이며 연방 기업에 상당한 위험을 초래합니다.”라고 사이버 보안 기관은 목요일에 경고했습니다.

활발한 악용이 이루어지고 있는 가운데, CVE-2024-21413은 Outlook 사용자에게 심각한 보안 위험을 제시합니다.

따라서 민간 조직은 즉시 패치를 적용하고 잠재적인 침해를 방지하기 위해 사이버 보안 방어를 강화할 것을 권장합니다.