포스팅 내용

국내외 보안동향

Exchange 권한상승취약점(CVE-2018-8581) 주의!

Exchange 서버에 존재하는 취약점이 공개되었으며, CVE-2018-8581로 명명되었습니다. 


이 취약점은 작년 12월중 ZERO DAY INITIATIVE 조직의 기술 블로그에서 가장 처음 공개되었으며, 해당 취약점을 악용아면 Exchange 서버의 SSRF 및 높은 권한의 request를 이용하여 일반적인 권한을 가진 사용자를 루트 권한으로 상승 시킬 수 있습니다. 


현재까지 아직 해당 취약점에 대한 패치가 공개되지 않은 상황입니다. 


영향받는 버전


Exchange 2010 ~ Exchange 2016 


취약점 발생 조건


Exchange가 기본적으로 설정되어 있는 환경 하에, 공격자가 사용자의 자격증명 권한을 갖고 있어야 하며, 동시에 NTLM replay 방식으로 권한 상승을 시도합니다. 그렇기 때문에 공격자는 이미 내부망에 침투하여 호스트를 장악하고 있어야 합니다. 


패치방법


아직 공식 패치는 공개되지 않았습니다.


임시조치방법


MS에서는 현재 임시조치로 레지스트리 중의  DisableLoopbackCheck 값을 삭제하라고 밝히고 있습니다. 


reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f   


하지만 모든 서버에서 해당 조치가 적용되는 것은 아니니 주의가 필요합니다.





참고 :

https://support.microsoft.com/ko-kr/help/161372/how-to-enable-smb-signing-in-windows-nt

https://www.zerodayinitiative.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/?from=timeline&isappinstalled=0

티스토리 방명록 작성
name password homepage