Home > 전체기사
익스체인지 서버에서 발견된 취약점, 활발한 익스플로잇 시도 이어져
  |  입력 : 2020-03-11 11:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2020-0688...지난 달 MS 정기 패치 통해 해결된 문제...익스플로잇 시도 증가
익스플로잇 성공할 경우 주요 정보에 쉽게 접근 가능해...APT 단체들의 활동 눈에 띄어


[보안뉴스 문가용 기자] 지난 달 정기 패치를 통해 해결된 마이크로소프트 익스체인지 서버의 취약점을 겨냥하는 해커들의 공격 빈도가 높아졌다는 발표가 나왔다. 이 취약점은 CVE-2020-0688로 마이크로소프트 익스체인지(Microsoft Exchange 2010, 2013, 2016, 2019)에 영향을 주는 것으로 알려져 있다. 설치 시 고유 암호화 키를 생성하지 않아 발생하는 문제라고 한다.

[이미지 = iclickart]


지난 달 마이크로소프트가 이 문제에 대한 패치를 발표하고 얼마 지나지 않아 제로 데이 이니셔티브(Zero Day Initiative, ZDI)는 해당 취약점에 대한 추가 정보를 공개했다. 여기에는 익스플로잇 방법이 같이 포함되어 있었는데, 이 내용이 공개된 직후부터 취약한 서버를 찾아내려는 스캔 행위가 크게 증가했다.

물론 패치를 진행한 시스템들은 이번 소식과는 전혀 상관이 없다. 또한 익스플로잇 공격의 난이도가 낮은 것은 아니다. 공격자가 취약한 서버를 찾아냈다고 하더라도, 먼저는 익스체인지 제어판(Exchange Control Panel, ECP) 인터페이스에 접근할 수 있어야 하는데, 그러려면 정상적으로 로그인이 가능한 크리덴셜을 보유해야 한다.

이러한 내용을 발표한 건 미국의 NSA로, 공식 트위터를 통해 익스체인지 서버를 얼른 패치하라는 권고와 함께 이러한 사실을 전달했다.

그보다 조금 전인 지난 주, 보안 업체 라피드7(Rapid7)은 CVE-2020-0688의 익스플로잇을 메타스플로잇(Metasploit)이라는 침투 테스트 프레임워크에 통합시키는 모듈을 공개했다. 이 역시 취약한 서버에 대한 공격을 증가시키는 데 일조했다고 사건 대응 전문 기업인 볼렉시티(Volexity)가 발표했다.

볼렉시티는 자사 블로그를 통해 “여러 APT 단체들이 익스체인지 서버를 익스플로잇 하고 있거나, 시도하고 있다”며 “이미 삭제된 크리덴셜을 활용하는 사례도 더러 있었다”고 밝혔다. “CVE-2020-0688은 익스플로잇에 성공하기만 하면 대단히 중요한 자산에 간단한 비밀번호 하나 만으로 접근할 수 있게 해줍니다. 즉 비밀번호를 주기적으로 바꿔주거나 이중인증을 사용하는 게 얼마나 중요한지를 보여주는 사례가 될 수 있습니다.” 볼렉시티의 설명이다.

CVE-2020-0688을 익스플로잇 하려는 공격자들은 정보를 수집하거나, 웹셸 백도어를 설치하거나, 메모리 내에서 각종 공격 도구를 실행하는 것을 목표로 하고 있는 것으로 분석됐다. 볼렉시티는 블로그를 통해 “공격자들 대부분 익스체인지 웹 서비스(Exchange Web Services, EWS)를 활용해 브루트포스 공격을 하고 있으며, 이 공격에 성공한 후에는 CVE-2020-0688을 익스플로잇 한다”고 경고했다.

실제로 이 취약점의 세부 내용과 익스플로잇 등이 공개되고 나서부터 특정 조직에 대한 브루트포스 공격의 빈도와 강도가 높아졌다고 볼렉시티는 쓰기도 했다. 볼렉시티의 클라이언트 중에 이러한 공격에 노출된 곳이 있는 것으로 보인다.

조직들은 익스체인지 서버 익셉션(Exchnge Server Exception) 로그, 애플리케이션 이벤트(Application Event) 로그, IIS 로그, 아웃룩 웹 애니웨어(Outlook Web Anywhere, OWA), 디폴트 IIS 웹 디렉토리 등을 점검함으로써 공격의 징조를 탐지할 수 있다고 볼렉시티는 안내하기도 했다.

3줄 요약
1. 지난 정기 패치 때 패치된 익스체인지 서버 취약점, 익스플로잇 시도 늘고 있음.
2. 특히 익스플로잇 모듈과 세부 공격 방법이 공개된 이후 APT 단체의 활동량이 증가함.
3. 이에 대해 NSA가 공식 트위터를 통해 경고하기도 함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)