0xNews - MS Exchange 에서 발견된 제로데이 취약점 4개 발견
0xNews - MS Exchange 에서 발견된 제로데이 취약점 4개 발견
MSTIC Microsoft Threat Intelligence Center 발표
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
이번 보안 문제의 핵심은 데이터 도난
중국의 국가 지원을 받는 공격자 그룹 HAFNIUM 의해 적극적으로 악용되는 것으로 파악
제한적이고 표적화된 공격 관련 정보 획득
공격자가 취약점을 사용하여 on-premises Exchange 서버에 접속
이메일 계정에 대한 접속 권한을 부여
이를 통해 추가 맬웨어를 설치하고 배포하는 기회를 만듬
결과적으로 피해자 주변 환경에 대한 장기적인 공격 기회의 포석으로 활용
TTPs tactics, techniques, and procedures 에 대해 처음 논의한 MS 는 HAFNIUM 에서 다양한 산업 분야를 대상으로 공격을 수행하는 것으로 파악
각종 산업 분야에서 민감 정보 획득과 유출을 위해 미국 내 NTT 정보 취득
NTT 는 상위 기술과 정교한 행동을 취하는 사람 highly skilled and sophisticated actor 으로 묘사
코로나 백신을 연구하는 전염병 연구나, 법률 회사, 고등 교육 기관, 방위 산업체 종사자, 정책 싱크 탱크 관계자 등 포함
HAFNIUM 은 악의적인 활동을 은폐하기 위해 미국에서 임대된 가상 사설 서버를 활용
공격을 조율 중인 것으로 확인
이번 공격 분석을 통해 알려진 공격 시나리오
훔친 암호를 사용하거나 이전에 발견되지 않은 취약점을 사용
Exchange 서버에 접속
웹 쉘을 배포하여 손상된 서버를 원격 제어
원격 접속을 이용하여 접속된 서버의 네트워크에서 메일 사서함 탈취와 수집된 데이터를 MEGA 와 같은 파일 공유 사이트로 전송
공격 시나리오 분석 결과 알려지지 않은 제로데이 0-day 취약점 4개 발견
CVE-2021-26855
Exchange Server의 SSRF server-side request forgery 취약점
CVE-2021-26857
통합 메시징 서비스의 안전하지 않은 역 직렬화 취약점
CVE-2021-26858, CVE-2021-27065
Exchange의 사후 인증 임의 파일 쓰기 취약점
이번 취약점에 영향을 받는 서버
MS Exchange Server 2013
MS Exchange Server 2016
MS Exchange Server 2019
초기 공격에서는 MS Exchange 서버 포트 443에 대한 신뢰할 수 없는 연결이 필수
회사는 조직이 신뢰할 수 없는 연결을 제한하거나 VPN 을 사용
Exchange 서버를 외부 접속과 분리함으로써 문제를 완화하는 점을 공격자는 역이용
현재 계속 문제가 되고 있는 SolarWinds 와는 관련성이 없다고 MS 에서는 말하지만 관련 정보는 공개하지 않음
이번 공격 분석을 한 연구팀은 공격자들이 처음에는 단순히 이메일 탈취 목적이라 판단
하지만 이는 공격의 시발점을 위한 것이라고 분석
최초 공격 목적의 이메일 탈취 등에 대한 공격이 성공했다면 이후 이를 통해 자격 증명 탈취나 접속 우회, 백도어 추가 설치 등 다양한 도구와 방법을 통해 운영자 정보 탈취나 시스템 장악을 위해 공격했을 것이라 판단
연구팀 블로그 사이트 링크
MS 연구팀에서는 잠재적으로 취약한 MS Exchange 서버를 사전 점검할 수 있도록 nmap plugin 제작 후 배포
Github nmap plugin 사이트 링크
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse
이번 취약점은 매월 두번쩌 화요일 정규 패치보다 앞당겨 보안 패치 진행
해당 서버 관리자들은 즉시 업데이트할 것을 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.