Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

하프늄

하프늄 제로데이 공격에 대한 익스체인지 서버 패치 방법

온프레미스 마이크로소프트 익스체인지 서버를 운영하는 관리자는 3월 2일 갑작스러운 호출에 잠을 깼을 것이다. 이 가운데 일부는 현재 사고를 조사 중이다. 2월 28일(그 이전일 가능성도 있음)부터 익스체인지 서버가 제로데이 서버 측 요청 위조(Server-Side Request Forgery, SSRF) 취약점을 이용하는 광범위한 공격을 받기 시작했다. 마이크로소프트는 공격의 진원지를 중국 APT 그룹인 하프늄(Hafnium)으로 지목했다.   최초 마이크로소프트는 이 공격을 특정 유형의 업종 및 기업을 대상으로 한 표적 공격으로 파악했지만 필자가 확인한 컨설턴트들의 보고서에 따르면, 다수의 중소기업에서 공격의 증거가 발견됐다. 이 보고서에 따르면, 공격자들은 제로데이가 공개된 후 공격 범위가 확대한 것으로 보인다. 미 백악관이 3월 5일 언론 브리핑에서 이를 확인했고, 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 3월 2일 공격에 대한 정보와 함께 긴급 지침을 발표했다. 일반적인 공격 목표가 되는 기업이 아니라 해도 온프레미스 익스체인지 서버를 운영한다면 신중을 기하고 조사를 해야 한다. 아직 패치를 하지 않았다면 지금 해야 한다. 패치를 했다 해도 공격의 영향을 받았는지 여부를 확인하기 위한 조치는 여전히 필요하다. 공격을 받은 서버 중에는 익스체인지 2013과 2016이 많은 것으로 보인다. 이는 특정 버전에 공격을 집중한 것보다는 기업이 설치한 서버의 수에 따른 결과일 가능성이 높다. 익스체인지 2019 역시 위험에 노출됐다. 익스체인지 2010은 다른 버전에 있는 취약점이 없지만 심층 방어를 위해 패치가 배포되고 있다. 더 이전 버전의 익스체인지는 지원 기간은 끝났지만 이번 문제에 대한 취약점은 없다. 긴급 익스체인지 서버 패치를 적용하는 방법 아직 익스체인지 서버를 패치하지 않았다면 지금 하고, 패치를 할 수 있을 때까지 익스체인지 서버를 ...

하프늄 Hafnium 마이크로소프트 2021.03.11

중국 사이버 첩보 그룹, 익스체인지 제로데이 결함 통해 미국 기관과 기업 해킹

마이크로소프트는 중국 APT 그룹인 하프늄(Hafnium)이 이전에 알려지지 않은 익스체인지 서버(Exchange Server) 취약점을 사용해 메일박스에 접근하고 원격 코드 실행(Remote Code Execution)을 수행하고 있다고 주장했다.    마이크로소프트는 사이버 첩보 그룹이 기관과 기업에 침입하기 위해 악용한 익스체인지 서버에 알려지지 않은 4가지 취약점에 대해 긴급 패치를 릴리스했다. 이 결함을 통해 메일박스의 내용을 추출하고 취약한 서버에 백도어를 설치할 수 있다.   마이크로소프트는 이번 공격을 인터넷 연결 서버의 취약점을 악용하고 오피스 365 사용자를 표적으로 한 중국 APT 그룹 하프늄의 소행으로 보고 있다. 이 그룹은 전염병 연구원, 법률 업체, 고등교육기관, 방위 계약업체, 정책 연구소, 그리고 NGO를 포함한 미국 내 단체들을 표적으로 삼았다.  인증 우회 가능한 SSRF 취약점 악용  이 공격은 지난 1월, 보안업체 볼렉시티(Volexity)의 연구원이 일부 고객의 익스체인지 서버에서 의심스러운 IP 주소로의 비정상적인 연결과 데이터 전송을 관찰하면서 처음 발견했다. 이후 조사 결과, 익스체인지 서버의 합법적인 리소스에 대한 의심스러운 POST 요청이 발견됐으며, 연구진은 해당 리소스가 백도어임을 의심했다.   하지만 특정 서버가 백도어된 것은 아니며, 공격자는 서버측 요청 위조(Server-Side Request Forgery, SSRF) 제로데이 취약점을 활용해 인증을 우회하고 서버에서 사용할 수 있는 사용자 메일박스의 내용을 추출한 것으로 밝혀졌다(현재 이 취약점은 CVE-2021-26855으로 추적된다).  볼렉시티 연구원은 보고서에서 “공격자는 이 취약점을 이용해 여러 사용자 메일박스의 전체 내용을 훔쳤다”라며, “이 취약점은 원격으로 공격할 수 있으며, 어떤 종류의 인증도 필요하지 않으며, 대상 환경에 대한 특별한 지식이나 접근권한도 필요하지 않...

익스체인지 제로데이 하프늄 2021.03.04

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.