**MonikerLink 취약점 (CVE-2024-21413)**은 마이크로소프트(Microsoft) Outlook에서 발견된 원격 코드 실행(Remote Code Execution, RCE) 취약점으로, 컴포넌트 객체 모델(Component Object Model, COM) 기반의 Moniker 링크 처리 방식에서 발생합니다. 이 취약점은 Microsoft Office 2016, 2019, 2021, Microsoft 365 Apps for Enterprise 등 다양한 버전의 Outlook에서 영향을 미칩니다. ([wiz.io][1])
🧩 취약점 개요
-
CVE 식별자: CVE-2024-21413
-
공개일: 2024년 2월 13일
-
CVSS v3.1 기본 점수: 9.8 (Critical)
-
영향 받는 제품:
- Microsoft Office 2016, 2019, 2021
- Microsoft 365 Apps for Enterprise
-
공격 벡터: 이메일을 통한 원격 코드 실행
-
공격 요구 사항: 사용자 상호작용 없음 (Zero-click)
🧠 취약점 원리
Outlook에서 Moniker 링크는 COM 객체를 통해 외부 리소스를 참조하는 방식입니다. 공격자는 file:// 프로토콜과 느낌표(!) 문자를 조합하여 악의적인 링크를 생성하고, 이를 이메일 본문에 삽입합니다. 사용자가 해당 이메일을 열면, Outlook은 링크를 해석하여 SMB(Samba) 서버에 연결을 시도하고, 이 과정에서 NTLM 해시를 포함한 인증 정보를 전송합니다. 공격자는 이를 통해 NTLM 패스 더 해시(Pass-the-Hash) 공격을 수행하거나, 악성 RTF 파일을 로드하여 원격 코드 실행을 유발할 수 있습니다. ([Stormshield][2])
🛡️ 영향 및 위험도
- 원격 코드 실행: 공격자는 피해자의 시스템에서 임의의 코드를 실행할 수 있습니다.
- NTLM 해시 유출: 인증 정보를 탈취하여 패스 더 해시 공격에 활용할 수 있습니다.
- 보호 모드 우회: Outlook의 **보호된 보기(Protected View)**를 우회하여 악성 문서를 편집 모드로 열 수 있습니다.
- 공격 벡터: 이메일 본문 내 링크 클릭만으로 공격이 실행됩니다. ([wiz.io][1])
🛠️ 대응 방안
- Microsoft 보안 업데이트 적용: 2024년 2월의 보안 패치를 통해 취약점이 수정되었습니다. ([Microsoft Security Response Center][3])
- 방화벽 설정 강화: 외부 SMB 연결을 차단하여 공격 경로를 차단합니다.
- 보안 솔루션 활용: 이메일 보안 솔루션을 통해 악성 링크를 탐지하고 차단합니다.
- 사용자 교육: 의심스러운 이메일 링크를 클릭하지 않도록 사용자에게 교육합니다.
📌 참고 자료
🔍 기술사 수준의 분석
- CVE-2024-21413은 COM 기반의 Moniker 링크 처리 방식에서 발생한 취약점으로, Outlook의 보안 모델을 우회하여 원격 코드 실행을 가능하게 합니다.
- 공격자는 file:// 프로토콜과 느낌표(!) 문자를 활용하여 악성 링크를 생성하고, 이를 이메일 본문에 삽입합니다.
- 사용자가 이메일을 열면, Outlook은 링크를 해석하여 외부 SMB 서버에 연결을 시도하고, 이 과정에서 NTLM 해시를 포함한 인증 정보를 전송합니다.
- 공격자는 이를 통해 NTLM 패스 더 해시 공격을 수행하거나, 악성 RTF 파일을 로드하여 원격 코드 실행을 유발할 수 있습니다.
- 이 취약점은 Zero-click 공격으로, 사용자 상호작용 없이도 악용될 수 있어 위험성이 높습니다.
