상세 컨텐츠

본문 제목

CVE-2020-0688: Microsoft Exchange 원격코드실행 취약점 주의!

국내외 보안동향

by 알약(Alyac) 2020. 2. 28. 08:04

본문

해당 취약점은 Exchange Control Panel(ECP) 모듈중에서 사용하는 validationKey와 decryptionKey로 인해 발생하는 취약점입니다. 



취약점 원리


Microsoft Exchange Server는 설치된 후에 web.config 파일 중 모두 동일한 validationKey와 decryptionKey를 갖고있게 됩니다. 이 암호키는 ViewState의 보안성을 보증하기 위해 사용됩니다. Viewstate는 ASP.NET Web 어플리케이션 직렬화 된 형식으로 클라이언트에 저장하는 서버 측 데이터로, 클라이언트 측은 __VIEWSTATE request 매개변수를 통하여 이러한 데이터를 서버에게 돌려줍니다.


인증이 된 공격자는 인증 된 session 중 ViewStateUserKey를 수집하고, 로그인 request의 원래 응답에서 __VIEWSTATEGENERATOR를 획득합니다. 이 두 값을 통하여 YSoSerial.net툴을 이용하여 악의적인 ViewState를 생성할 수 있으며,  ECP 중 임의의 .NET 코드를 실행할 수 있습니다. ECP 어플리케이션은 SYSTEM권한으로 동작하기 때문에, 성공적으로 해당 취약점을 악용한 공격자는 SYSTEM 신분으로 임의의 악성코드를 실행하여 Exchange 서버를 완전히 장악할 수 있습니다. 



영향받는 버전


Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2016 Cumulative Update 14

Microsoft Exchange Server 2016 Cumulative Update 15

Microsoft Exchange Server 2019 Cumulative Update 3

Microsoft Exchange Server 2019 Cumulative Update 4



패치방법


윈도우 보안업데이트




관련글 더보기

댓글 영역