미국 사이버 보안 및 인프라 보안국(CISA)이 마이크로소프트 아웃룩(Microsoft Outlook)에서 발견된 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점인 CVE-2024-21413이 현재 실제 공격에 악용되고 있다고 경고했다.
이번 취약점은 체크포인트(Check Point)의 보안 연구원 하이페이 리(Haifei Li)에 의해 발견됐으며, 공격자는 취약한 아웃룩 버전에서 악의적으로 제작된 이메일을 열기만 해도 원격으로 악성 코드를 실행할 수 있는 것으로 나타났다.
이 취약점은 아웃룩이 이메일 내 악성 링크를 처리하는 과정에서 입력값 검증이 제대로 이루어지지 않아 발생한다. 공격자는 file:// 프로토콜을 활용해 보호된 보기(Protected View)를 우회할 수 있으며, 이는 원래 읽기 전용 모드로 열려야 할 파일을 편집 모드로 바로 열리게 만든다.
공격자는 파일 확장자 뒤에 느낌표(!)와 임의의 텍스트를 추가함으로써 이 취약점을 악용한다. 예를 들어 file:///\\10.10.111.111\test\test.rtf!something과 같은 링크를 통해 사용자가 이메일을 열기만 해도 악성 코드가 실행될 수 있다.
이 공격 방식은 윈도우의 COM(Component Object Model) 모니커(Moniker)를 활용해 아웃룩의 기본 보안 기능을 우회한다. 특히, 아웃룩의 미리 보기 창(Preview Pane)만 열어도 공격이 가능해 사용자는 이메일을 완전히 열지 않아도 피해를 입을 수 있다.
이 취약점은 다음과 같은 마이크로소프트 오피스(Microsoft Office) 제품군에 영향을 미친다:
-마이크로소프트 오피스 LTSC 2021(Microsoft Office LTSC 2021)
-마이크로소프트 365 엔터프라이즈 앱(Microsoft 365 Apps for Enterprise)
-마이크로소프트 아웃룩 2016(Microsoft Outlook 2016)
-마이크로소프트 오피스 2019(Microsoft Office 2019)
해당 취약점이 성공적으로 악용될 경우, NTLM 자격 증명 탈취 및 악성 코드 실행으로 인해 시스템 전체가 손상될 수 있다.
CISA는 CVE-2024-21413을 '알려진 악용 취약점(Known Exploited Vulnerabilities)' 목록에 추가했으며, 현재 이 취약점이 실제로 악용되고 있다고 밝혔다.
마이크로소프트는 2024년 2월 이 취약점에 대한 보안 패치를 배포했다. 사용자와 기업은 다음과 같은 업데이트 버전이 적용되었는지 반드시 확인해야 한다:
보안 전문가들은 해당 취약점이 매우 심각하다고 경고하며, 가능한 한 빨리 보안 패치를 적용할 것을 권장했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![보안 우려 커지는 딥시크, 챗GPT와 뭐가 다를까 [딥시크 Q&A]](https://img.segye.com/content/image/2025/02/09/20250209509576.jpg)
![[디지털문서 인사이트] 디지털문서의 안전한 보관을 위한 불변경 저장 기술 동향 및 이슈사항](https://img.etnews.com/news/article/2025/02/10/news-p.v1.20250210.16c4c7efd9514d5097f79894392adba1_P3.jpg)
