마이크로소프트 Exchange 내 제로데이 취약점 4개 패치돼

 

 

Four zero-days in Microsoft Exchange actively exploited in the wild

 

마이크로소프트가 지원되는 모든 버전의 마이크로소프트 Exchange에 존재하는 제로데이 취약점 4개(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)를 수정하는 긴급 보안 업데이트를 발행했습니다. 이 제로데이 취약점은 실제 공격에 활발히 악용되고 있는 중이었습니다.

 

 

<이미지 출처 : https://twitter.com/GossiTheDog/status/1366858907671552005>

 

  

마이크로소프트는 중국 정부 지원 APT 그룹 HAFNIUM가 이 취약점을 통해 온-프레미스 Exchange 서버에 접근하여 이메일 계정에 접근하고, 피해자의 환경에 지속적으로 접근하기 위해 백도어를 설치했다고 밝혔습니다.

 

이 공격체인은 Exchange 서버 포트 443으로의 신뢰할 수 없는 연결로 시작됩니다.

 

첫 번째 제로데이인 CVE-2021-26855는 Exchange의 서버측 요청 위조 (SSRF) 취약점으로 공격자가 악용할 경우 임의의 HTTP 요청을 보내 익스체인지 서버로 인증이 가능합니다.

 

두 번째 취약점인 CVE-2021-26857은 통합 메시징 서비스에 존재하는 안전하지 않은 역직렬화 취약점입니다. Exchange 서버에서 SYSTEM 권한으로 코드를 실행할 수 있는 관리자 권한이 있는 공격자는 이 취약점을 악용할 수 있습니다. 

 

세 번째 취약점인 CVE-2021-26858은 Exchange에 존재하는 사후 인증 임의 파일 쓰기 취약점입니다.

 

마이크로소프트에 따르면, Hafnium APT 그룹은 미국 내 조직을 노린 타깃 공격에 이 취약점을 악용한 것으로 나타났습니다. 해당 그룹은 과거에도 로펌, 전염병 연구원 등 미국에 위치하는 여러 업계 조직을 노린 사이버 스파잉 캠페인을 실행한 전적이 있습니다.

 

마이크로소프트의 부사장인 Tom Burt는 Hafnium 해커가 취약한 Exchange 서버에 접근해 권한을 얻으면, 원격 접근 권한을 이용하여 조직 내 네트워크에서 데이터를 훔칠 것이라 설명했습니다.

 

“첫째, 이들은 훔친 비밀번호를 사용하거나 이전에 발견되지 않은 취약점을 악용하여 자신을 권한을 가진 사람으로 위장하여 Exchange 서버로의 접근 권한을 얻을 수 있습니다.”
 
“둘째, 이들은 웹셸을 생성하여 서버를 원격으로 해킹할 것입니다.”
 
“셋째, 이들은 미국의 사설 서버에 대한 원격 접속 권한을 악용하여 조직 네트워크 내 데이터를 훔칠 것입니다.”

 

관리자는 해당 보안 업데이트를 즉시 설치할 것을 권장합니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/115194/hacking/microsoft-exchange-zero-days.html

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/