상세 컨텐츠
본문
해당 취약점은 Exchange Control Panel(ECP) 모듈중에서 사용하는 validationKey와 decryptionKey로 인해 발생하는 취약점입니다.
취약점 원리
Microsoft Exchange Server는 설치된 후에 web.config 파일 중 모두 동일한 validationKey와 decryptionKey를 갖고있게 됩니다. 이 암호키는 ViewState의 보안성을 보증하기 위해 사용됩니다. Viewstate는 ASP.NET Web 어플리케이션 직렬화 된 형식으로 클라이언트에 저장하는 서버 측 데이터로, 클라이언트 측은 __VIEWSTATE request 매개변수를 통하여 이러한 데이터를 서버에게 돌려줍니다.
인증이 된 공격자는 인증 된 session 중 ViewStateUserKey를 수집하고, 로그인 request의 원래 응답에서 __VIEWSTATEGENERATOR를 획득합니다. 이 두 값을 통하여 YSoSerial.net툴을 이용하여 악의적인 ViewState를 생성할 수 있으며, ECP 중 임의의 .NET 코드를 실행할 수 있습니다. ECP 어플리케이션은 SYSTEM권한으로 동작하기 때문에, 성공적으로 해당 취약점을 악용한 공격자는 SYSTEM 신분으로 임의의 악성코드를 실행하여 Exchange 서버를 완전히 장악할 수 있습니다.
영향받는 버전
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4
패치방법
'국내외 보안동향' 카테고리의 다른 글
| Cisco, 라우터 및 방화벽 제품의 Kr00k 취약점 패치 (0) | 2020.02.28 |
|---|---|
| 구글 인증 2FA 코드를 탈취 가능한 안드로이드 악성코드 발견 (0) | 2020.02.28 |
| DDoS 공격자들, 호주의 은행 노려 (0) | 2020.02.27 |
| Oracle Weblogic IIOP 역직렬화 취약점(CVE-2020-2551)주의! (0) | 2020.02.27 |
| 10억 대 이상의 기기에 영향을 미치는 새로운 Wi-Fi 암호화 취약점 발견 (0) | 2020.02.27 |
댓글 영역