2021.10.08

마이크로소프트 익스체인지 EM : 보안 관리자가 알아야 할 서비스

Susan Bradley | CSO
기업에서 온프레미스 익스체인지 서버를 운영하고 있다면 마이크로소프트가 제공하는 주요 보호장치를 이용하는 것이 좋다. 마이크로소프트가 지난 9월 출시한 익스체인지 EM(Emergency Mitigation) 서비스다. 이 서비스는 2021년 9월 누적 업데이트에 포함되어 있지만 패치를 대체하는 것은 아니다. 익스체인지 EM은 온프레미스 익스체인지 서버를 보호하는 더 나은 방법을 제공한다.
 
ⓒ Getty Images Bank

지난 5월 마이크로소프트 익스체인지 서버에 대한 제로데이 공격은 최신 패치를 적용하지 않은 기업이 많다는 사실을 보여줬다. 이 사실을 알게 된 마이크로소프트는 자동 완화 기능이 포함된 마이크로소프트 디펜더 안티바이러스(Microsoft Defender Antivirus)와 시스템 센터 엔드포인트 프로텍션(System Center Endpoint Protection)과 함께 익스체인지 온프레미스 완화 도구(EOMT)를 즉시 배포했다. 

마이크로소프트는 “EOMT는 관리자가 보안 업데이트를 설치할 수 있을 때까지 취약한 공격 지점을 선제적으로 최소화하기 위해 익스체인지 서버에 임시 완화책을 적용하는 도구다. 인터넷 접근이 가능한 익스체인지 서버를 배치하고 업데이트를 준비하는 동안 위험을 신속하게 완화할 필요가 있을 때 사용을 권장한다”라고 말했다. 


마이크로소프트 익스체인지 EM 서비스란?

마이크로소프트는 추가적인 조치의 필요성을 깨닫고 9월 업데이트에 EM을 포함시켰다. 마이크로소프트는 “EM은 익스체인지 서버에서 윈도우 서비스처럼 구동된다. 클라우드 기반 OCS(Office Config Service)와 함께 작동하는 EOMT 내장 버전이며, 완화책이 이미 알려진 보안 위협으로부터 보호한다. OCS는 오피스 클라이언트가 사용하는 것과 동일한 온라인 구성 서비스다”라고 설명했다.

EM은 1시간에 한 번씩 URL을 조사해 OCS를 확인한다. 마이크로소프트가 보안 위협을 인지하면, 문제에 대해 완화책을 생성하고 완화 설정을 서버에 적용한다. 완화 패키지는 파일이 조작되지 않도록 서명된 XML 파일이다. EM은 보안 업데이트를 대체하지는 않지만, 사용자가 업데이트를 배치하고 테스트하도록 도와준다. 9월 누적 업데이트를 설치하면 모든 메일박스 서버에 EM 서비스가 자동으로 설치된다. 엣지 트랜스포트(Edge Transport) 서버에는 설치되지 않으며 관리자 설정에서 EM 서비스를 비활성화할 수 있다.


EM의 전제 조건

EM을 사용하기 위해서는 익스체인지 서버에 인터넷 정보 서비스(IIS) URL 재작성 모듈 v2가 설치돼 있어야 한다. 해당 모듈이 없으면 누적 업데이트 시 오류 메시지가 뜬다. 9월 누적 업데이트가 설치되면 EM 사용 여부와 관계없이 IIS URL 재작성 모듈이 필요할 것이다. 

만약 익스체인지 2016이 설치된 윈도우 서버 2012 R2을 이용하는 경우에는 누적 업데이트를 하기 전 KB2999226(유니버셜 C 런타임용 업데이트)을 먼저 설치해야 한다. 설치하는 동안 전제 조건에 대한 알림이 제공된다. 물론 EM 서비스가 작동하려면 인터넷 연결은 필수다. 


EM의 작동 방식

공격이 발생하면 EM 서비스는 네트워크를 보호하기 위해 여러 선택적 동작을 수행한다. IIS 재작성 규칙으로 악의적인 HTTPS 요청을 걸러내고, 익스체인지 서버를 비활성화하며, 가상 디렉터리나 앱 풀도 비활성화한다. 지난 1, 2월 패치 서버가 해킹되자 선제적 대응을 위해 지난 4월 미국 법무부가 취한 방법과 유사하다. 당시 FBI는 법원 명령에 따라 익스체인지 서버에서 고유한 파일 경로로 식별된 웹 셸을 제거했다. 

EM 서비스의 일환으로 마이크로소프트는 핑(PING)이라는 샘플 완화책을 전송한다. 사용자는 핑으로 OCS와 서버가 정상적으로 연결되어 있는지 확인할 수 있다. 

누적 업데이트가 설치되면 사용자는 ‘Get-Mitigations.ps1PowerShell’ 스크립트를 사용해 어떤 완화책이 제공되는지, 어떤 선택사항이 있는지 검토할 수 있다. 사용자는 상호작용이 의심되는 경우 임시 또는 영구적으로 완화책을 비활성화할 수 있다. 임시로 비활성화했을 경우에는 추후 EM 서비스를 재시작할 수 있다. 

EM 서비스 활동은 윈도우 이벤트 로그에 기록된다. 정상 작동되면 소스 이름이 ‘MSExchange Mitigation Service’인 신규 이벤트 1005와 1006이 기록된다. EM 서비스가 인터넷이나 관련 OCS와 연결되지 않은 경우에는 이벤트 1008이 기록된다. 익스체인지 서버 설치 디렉터리에 있는 ‘V15\Logging\MitigationService’ 폴더에서 고유 로깅을 찾아보자.

보안 연구원이자 익스체인지 취약점 전문가인 오렌지 차이는 최근 블랙햇 보안 컨퍼런스에서 온프레미스 익스체인지 환경에는 취약점 보상 프로그램이 없다고 지적했다. 다른 보안 업계 관계자도 최근 온프레미스 서버에 대한 관심이 부족한 것을 우려했다. 이런 점에서 마이크로소프트가 클라우드 서비스에 제공하는 보안 솔루션을 온프레미스 환경에도 제공한다는 것은 신선한 일이다.

아직 온프레미스 익스체인지 서버를 구동하는 업체가 있다면 마이크로소프트가 제공하는 자원과 도구를 활용해 해킹 위험을 대비하는 것을 추천한다. 제로데이 공격은 해커가 흔히 사용하는 방식이다. 마이크로소프트는 이런 온프레미스 고객의 위험에 대응했다. 메일 서버에 EM 서비스를 테스트하고 설치할 것을 강력하게 권한다.

해커는 오토디스커버(Autodiscover) 기능을 사용한 익스체인지 제로데이 공격으로 비밀번호를 수집할 뿐만 아니라 모든 수단을 동원해 네트워크에 침입할 다양한 방법을 찾고 있다. EM 서비스를 이용하면 보안 업데이트를 서둘러 설치하지 않아도 가장 최신 지침과 방법으로 서버를 보호할 수 있을 것이다. editor@itworld.co.kr


2021.10.08

마이크로소프트 익스체인지 EM : 보안 관리자가 알아야 할 서비스

Susan Bradley | CSO
기업에서 온프레미스 익스체인지 서버를 운영하고 있다면 마이크로소프트가 제공하는 주요 보호장치를 이용하는 것이 좋다. 마이크로소프트가 지난 9월 출시한 익스체인지 EM(Emergency Mitigation) 서비스다. 이 서비스는 2021년 9월 누적 업데이트에 포함되어 있지만 패치를 대체하는 것은 아니다. 익스체인지 EM은 온프레미스 익스체인지 서버를 보호하는 더 나은 방법을 제공한다.
 
ⓒ Getty Images Bank

지난 5월 마이크로소프트 익스체인지 서버에 대한 제로데이 공격은 최신 패치를 적용하지 않은 기업이 많다는 사실을 보여줬다. 이 사실을 알게 된 마이크로소프트는 자동 완화 기능이 포함된 마이크로소프트 디펜더 안티바이러스(Microsoft Defender Antivirus)와 시스템 센터 엔드포인트 프로텍션(System Center Endpoint Protection)과 함께 익스체인지 온프레미스 완화 도구(EOMT)를 즉시 배포했다. 

마이크로소프트는 “EOMT는 관리자가 보안 업데이트를 설치할 수 있을 때까지 취약한 공격 지점을 선제적으로 최소화하기 위해 익스체인지 서버에 임시 완화책을 적용하는 도구다. 인터넷 접근이 가능한 익스체인지 서버를 배치하고 업데이트를 준비하는 동안 위험을 신속하게 완화할 필요가 있을 때 사용을 권장한다”라고 말했다. 


마이크로소프트 익스체인지 EM 서비스란?

마이크로소프트는 추가적인 조치의 필요성을 깨닫고 9월 업데이트에 EM을 포함시켰다. 마이크로소프트는 “EM은 익스체인지 서버에서 윈도우 서비스처럼 구동된다. 클라우드 기반 OCS(Office Config Service)와 함께 작동하는 EOMT 내장 버전이며, 완화책이 이미 알려진 보안 위협으로부터 보호한다. OCS는 오피스 클라이언트가 사용하는 것과 동일한 온라인 구성 서비스다”라고 설명했다.

EM은 1시간에 한 번씩 URL을 조사해 OCS를 확인한다. 마이크로소프트가 보안 위협을 인지하면, 문제에 대해 완화책을 생성하고 완화 설정을 서버에 적용한다. 완화 패키지는 파일이 조작되지 않도록 서명된 XML 파일이다. EM은 보안 업데이트를 대체하지는 않지만, 사용자가 업데이트를 배치하고 테스트하도록 도와준다. 9월 누적 업데이트를 설치하면 모든 메일박스 서버에 EM 서비스가 자동으로 설치된다. 엣지 트랜스포트(Edge Transport) 서버에는 설치되지 않으며 관리자 설정에서 EM 서비스를 비활성화할 수 있다.


EM의 전제 조건

EM을 사용하기 위해서는 익스체인지 서버에 인터넷 정보 서비스(IIS) URL 재작성 모듈 v2가 설치돼 있어야 한다. 해당 모듈이 없으면 누적 업데이트 시 오류 메시지가 뜬다. 9월 누적 업데이트가 설치되면 EM 사용 여부와 관계없이 IIS URL 재작성 모듈이 필요할 것이다. 

만약 익스체인지 2016이 설치된 윈도우 서버 2012 R2을 이용하는 경우에는 누적 업데이트를 하기 전 KB2999226(유니버셜 C 런타임용 업데이트)을 먼저 설치해야 한다. 설치하는 동안 전제 조건에 대한 알림이 제공된다. 물론 EM 서비스가 작동하려면 인터넷 연결은 필수다. 


EM의 작동 방식

공격이 발생하면 EM 서비스는 네트워크를 보호하기 위해 여러 선택적 동작을 수행한다. IIS 재작성 규칙으로 악의적인 HTTPS 요청을 걸러내고, 익스체인지 서버를 비활성화하며, 가상 디렉터리나 앱 풀도 비활성화한다. 지난 1, 2월 패치 서버가 해킹되자 선제적 대응을 위해 지난 4월 미국 법무부가 취한 방법과 유사하다. 당시 FBI는 법원 명령에 따라 익스체인지 서버에서 고유한 파일 경로로 식별된 웹 셸을 제거했다. 

EM 서비스의 일환으로 마이크로소프트는 핑(PING)이라는 샘플 완화책을 전송한다. 사용자는 핑으로 OCS와 서버가 정상적으로 연결되어 있는지 확인할 수 있다. 

누적 업데이트가 설치되면 사용자는 ‘Get-Mitigations.ps1PowerShell’ 스크립트를 사용해 어떤 완화책이 제공되는지, 어떤 선택사항이 있는지 검토할 수 있다. 사용자는 상호작용이 의심되는 경우 임시 또는 영구적으로 완화책을 비활성화할 수 있다. 임시로 비활성화했을 경우에는 추후 EM 서비스를 재시작할 수 있다. 

EM 서비스 활동은 윈도우 이벤트 로그에 기록된다. 정상 작동되면 소스 이름이 ‘MSExchange Mitigation Service’인 신규 이벤트 1005와 1006이 기록된다. EM 서비스가 인터넷이나 관련 OCS와 연결되지 않은 경우에는 이벤트 1008이 기록된다. 익스체인지 서버 설치 디렉터리에 있는 ‘V15\Logging\MitigationService’ 폴더에서 고유 로깅을 찾아보자.

보안 연구원이자 익스체인지 취약점 전문가인 오렌지 차이는 최근 블랙햇 보안 컨퍼런스에서 온프레미스 익스체인지 환경에는 취약점 보상 프로그램이 없다고 지적했다. 다른 보안 업계 관계자도 최근 온프레미스 서버에 대한 관심이 부족한 것을 우려했다. 이런 점에서 마이크로소프트가 클라우드 서비스에 제공하는 보안 솔루션을 온프레미스 환경에도 제공한다는 것은 신선한 일이다.

아직 온프레미스 익스체인지 서버를 구동하는 업체가 있다면 마이크로소프트가 제공하는 자원과 도구를 활용해 해킹 위험을 대비하는 것을 추천한다. 제로데이 공격은 해커가 흔히 사용하는 방식이다. 마이크로소프트는 이런 온프레미스 고객의 위험에 대응했다. 메일 서버에 EM 서비스를 테스트하고 설치할 것을 강력하게 권한다.

해커는 오토디스커버(Autodiscover) 기능을 사용한 익스체인지 제로데이 공격으로 비밀번호를 수집할 뿐만 아니라 모든 수단을 동원해 네트워크에 침입할 다양한 방법을 찾고 있다. EM 서비스를 이용하면 보안 업데이트를 서둘러 설치하지 않아도 가장 최신 지침과 방법으로 서버를 보호할 수 있을 것이다. editor@itworld.co.kr


X