상세 컨텐츠

본문 제목

공격자들, Microsoft Exchange 서버의 ProxyShell 취약점 검색해

국내외 보안동향

by 알약4 2021. 8. 10. 11:30

본문

 

 

Threat actors are probing Microsoft Exchange servers for ProxyShell flaws

연구원들이 Black Hat 해킹 컨퍼런스에서 기술 세부 사항을 발표한 후, 해커들이 Microsoft Exchange ProxyShell 원격 코드 실행 취약점을 적극적으로 검색하기 시작했습니다.

ProxyShell은 인증되지 않은 원격 공격자가 Microsoft Exchange 서버에서 코드를 실행하기 위해 연결할 수 있는 세 가지 취약점의 이름입니다.

ProxyShell 공격에 사용된 세 가지 취약점은 다음과 같습니다.

 

CVE-2021-34473- 사전 인증 경로 혼동으로 인한 ACL 우회 취약점 (4월에 KB5001779에 의해 패치됨)
CVE-2021-34523- Exchange PowerShell 백엔드에 대한 권한 상승 취약점 (4월에 KB5001779에 의해 패치됨)
CVE-2021-31207- 인증 후 임의 파일 쓰기에서 이어진 RCE 취약점 (5월에 KB5003435에 의해 패치됨)


이 취약점은 IIS의 포트 443에서 실행되는 Microsoft Exchange의 CAS(Client Access Service)를 통해 원격으로 악용됩니다.

취약점을 발견한 Devcore의 보안 연구원 Orange Tsai는 Black Hat 컨퍼런스에서 Microsoft Exchange 취약점에 대한 세부 정보를 공유했습니다.

Tsai는 ProxyShell 공격 체인이 최소한의 사용자 입력으로 자체 구성하기 위해 클라이언트 응용 프로그램에서 사용하는 Autodiscover 서비스를 포함하여 Microsoft Exchange의 여러 구성 요소를 대상으로 한다고 설명했습니다.

조직의 보안 관리자는 공격을 방지하기 위해 Microsoft의 최신 보안 업데이트를 설치할 것을 권장합니다.

 

 



출처:

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064
https://securityaffairs.co/wordpress/120931/hacking/microsoft-exchange-proxyshell-flaws.html

관련글 더보기

댓글 영역