Home > 전체기사

MS의 익스체인지 서버 노리는 공격자들, 아직 사라지지 않았다

  |  입력 : 2021-08-24 20:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
익스체인지 서버 사태가 지금까지도 이어지고 있다. 5월에 나온 패치를 제대로 적용하지 않고 있기 때문이다. 일부에서는 MS가 좀 더 목소리를 크게 내야 한다는 비판도 나오고 있다. 아무튼 지금이라도 패치하면 늦지 않을 수 있다.

[보안뉴스 문가용 기자] 올해는 아무래도 MS 익스체인지 서버의 해가 될 모양이다. MS 익스체인지 서버와 관련된 미국 정부 기관의 경고가 주말 동안 다시 한 번 등장했다. 경고를 통해 미국 사이버 보안 전담 기관인 CISA는 “공격자들이 패치가 되지 않은 MS 익스체인지 서버를 익스플로잇 하는 중”이라며 “조속한 패치가 요구되고 있다”고 촉구했다.

[이미지 = utoimage]


8월 내내 보안 업체 헌트레스(Huntress)는 “공격자들이 프록시셸(ProxyShell)이라고 알려진 MS 익스체인지 서버 취약점을 공격적으로 익스플로잇 하고 있다”고 경고했었다. 헌트레스에 의하면 공격자들은 프록시셸 취약점을 익스플로잇 한 뒤 백도어를 심고 있다고 했는데, 이 프록시셸 취약점은 8월 6일 익스플로잇 코드가 공개되면서 공격자들의 관심이 폭발적으로 늘어났다고 한다. 지난 주 금요일 밤에는 약 1900개의 미패치 익스체인지 서버에서 140개의 웹셸이 발견되기도 했다. 현재까지 피해 단체는 식품, 제조, 자동차 수리, 소규모 항공 업체 등이라고 한다.

먼저 헌트레스의 보안 전문가인 존 하몬드(John Hammond)는 지난 주 “공격자들이 프록시셸을 익스플로잇 해서 록파일(LockFile)이라는 랜섬웨어를 유포하는 중”이라고 경고했었다. 하지만 공격자들이 가장 많이 사용하고 있는 건 웹셸들이라고 한다. 헌트레스의 블로그에 따르면 가장 많이 사용되는 웹셸들은 현재 다음과 같다.
1) XSL Transform
2) Encrypted Reflected Assembly Loader
3) Comment Separation and Obfuscation of the “unsafe” Keyword
4) JScript Base64 Encoding and Character Typecasting
5) Arbitrary File Uploader

헌트레스의 블로그(https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit)에 접속하면 위 웹셸들에 대한 상세 정보를 열람할 수 있다.

프록시셸 익스플로잇이 처음 공개된 건 8월 초 미국에서 진행된 블랙햇(Black Hat)에서였다. 데브코어(Devcore)의 연구원인 오렌지 차이(Orange Tsai)라는 인물이 강연을 통해 알리면서였다. 그리고 1주일 뒤 이 정보를 입수한 자들의 익스플로잇 시도가 준비되고 있다는 듯, 쇼단에서 익스체인지 서버를 스캔하는 행위가 급증하기 시작했다. 당시 약 3만 대의 익스체인지 서버가 취약한 상태였다.

MS는 이미 5월 정기 패치를 통해 이 취약점을 고친 바 있다. 패치는 여기(https://msrc.microsoft.com/update-guide/releaseNote/2021-May)서 확인이 가능하다. 하지만 일부 보안 전문가들은 “MS가 프록시셸 취약점의 위험성이 그리 높지 않다는 뉘앙스로 패치를 권고하고 있기 때문에 사용자들이 패치를 하지 않는 것”이라고 비판한다. 고객들에게 사실을 명확히 알릴 의무가 있는데, 그걸 저버리고 있다는 것.

어찌됐든 지금이라도 패치를 하면 안전하다는 게 CISA의 입장이다. CISA는 프록시셸이라는 이름이 붙은 취약점을 다음과 같은 순서로 패치할 것을 권고하고 있다.
1) CVE-2021-34473
2) CVE-2021-34523
3) CVE-2021-31207

3줄 요약
1. MS 익스체인지 서버에서 발견된 프록시셸 취약점, 활발히 익스플로잇 되는 중.
2. 취약점 통해 공격자들은 주로 6가지 종류의 웹셸을 심고 있는 중.
3. 지금이라도 MS 5월 정기 패치 통해 프록시셸 해결해야 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)