보안

MS 익스체인지 서버 보안 결함⋯"원격 파워셸 액세스 비활성화 권고"

Lucian Constantin | CSO 2022.10.06
공격자가 패치되지 않은 2가지 취약점을 악용하여 온프레미스 마이크로소프트 익스체인지 서버를 원격에서 손상시키고 있다. 지난주 마이크로소프트는 이 결함을 확인하고, 영구적인 패치가 개발될 때까지 (취할 수 있는) 완화 조치를 발표했지만 한 보고서에 따르면 해당 완화 조치는 쉽게 우회할 수 있는 것으로 나타났다. 
 
ⓒ Microsoft / TBIT (CC0)

이 새 취약점은 지난 8월 초 베트남의 보안 업체 GTSC가 서버 공격을 받은 고객의 보안 모니터링 및 사고 대응을 수행하던 중 발견됐다. 맨 처음 GTSC 연구진은 프록시셸(ProxyShell) 취약점이라고 간주했다. 프록시셸은 (익스체인지에 있는) 3가지 취약점(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)을 묶는 공격이며, 작년에 패치됐다. 

하지만 GTSC의 사고 대응팀은 공격자가 원격 코드 실행을 획득한, 손상된 익스체인지 서버가 최신 상태라는 점을 빠르게 깨달았다. 이는 프록시셸이 아니라는 것을 의미한다. GTSC는 리버스 엔지니어링을 통해 이전에 알려지지 않은 취약점이라는 사실을 확인한 후 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI) 프로그램에 관련 보고서를 제출했고, 이는 마이크로소프트와 공유됐다. 
 

새 공격은 2가지 취약점을 악용한다

새 공격 체인은 마이크로소프트에서 CVE-2022-41040와 CVE-2022-41082로 추적하는 2가지 새로운 결함을 악용한다. 첫 번째 취약점은 인증된 공격자가 두 번째 취약점을 트리거할 수 있도록 하는 SSRF(Server-Side Request Forgery; 서버-측 요청 위조) 문제다. 그 결과 파워셸(PowerShell)을 통해 원격 코드를 실행할 수 있게 된다. 

이 결함은 마이크로소프트 익스체인지 서버 2013, 익스체인지 서버 2016, 익스체인지 서버 2019에 영향을 미친다. 반면에 마이크로소프트 익스체인지 온라인(Microsoft Exchange Online)에는 이를 탐지 및 완화할 수 있는 기능이 있다. “두 취약점을 성공적으로 악용하려면 취약한 익스체인지 서버에 인증된 액세스가 필요하다”라고 회사 측은 밝혔다

GTSC에 따르면 여러 고객을 대상으로 한 공격에서 악의적인 행위자는 이 취약점을 사용하여 RedirSuiteServiceProxy.aspx와 같은 합법적인 익스체인지 파일로 가장한 웹셸(백도어 스크립트)을 배포했다. 그다음 자격증명 덤핑 맬웨어를 배포해 손상된 서버에서 자격증명을 훔쳤다. 연구진은 공격자가 선택한 웹셸과 공격 이후 남겨진 아티팩트를 고려한다면 악의적인 행위자는 중국인일 것으로 추정했다. 

시스코 탈로스(Cisco Talos)의 보고서에 의하면 공격자는 인기 있는 중국어 기반 오픈소스 웹셸 앤트소드(Antsword), ASP.NET 기반 웹셸 샤파이셸(SharPyShell), 차이나 초퍼(China Chopper)를 사용했다. 또한 합법적인 유틸리티(certutil)를 남용하여 임플란트를 다운로드하고 배포했다. 
 

MS의 익스체인지 서버 제로데이 완화 조치 우회?

마이크로소프트에서 발표한 완화 조치는 ‘IIS Manager -> Default Web Site -> URL Rewrite -> Actions’에서 사용할 수 있는 URL Rewrite 엔진을 사용하여 알려진 공격 패턴을 차단하는 것이다. 아울러 이 회사는 차단 규칙을 제공하고, 배포를 자동화하는 파워셸 스크립트를 작성했다. 

하지만 베트남의 한 보안 연구원(트위터 ID: Janggggg)은 지난 월요일 트위터를 통해 이 차단 규칙을 쉽게 우회할 수 있다고 지적했다. 前 CERT/CC 애널리스트 윌 도르만을 비롯한 다른 보안 연구원도 이에 동의하면서 다음과 같이 전했다
 

“CVE-2022-41040와 CVE-2022-41082에 관해 마이크로소프트가 권장한 ‘.*autodiscover\.json.*\@.*Powershell.*’ URL 차단 완화 조치의 ‘@’는 불충분하다. 그 대신 ‘.*autodiscover\.json.*Powershell.*’을 시도해보라”


이 차단 규칙 외에도 마이크로소프트는 관리자가 아닌 사용자에 원격 파워셸 액세스를 비활성화하라고 권고했다. 공격자가 손상된 계정에서 파워셸에 액세스하지 못하면 이 공격이 효과적이지 않기 때문이다. 또한 마이크로소프트는 사용자의 원격 파워셸 액세스를 비활성화하는 방법과 현재 관찰된 공격에 관한 탐지 및 위협 헌팅 지침을 제공했다. GTSC와 탈로스의 보고서에도 침해 지표가 포함돼 있다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.