Home > 전체기사

MS 익스체인지 서버의 제로데이 4개 악용한 중국의 APT 단체

  |  입력 : 2021-03-03 11:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS 익스체인지 서버에서 제로데이 취약점을 4개 발견해 악용해온 중국 APT 단체가 처음으로 등장했다. 4개 취약점을 절묘하게 활용해 익스체인지 서버 사용자 기업의 이메일을 염탐해온 이들은 상당한 실력의 소유자들이라고 한다. MS는 빠른 패치를 촉구했다.

[보안뉴스 문가용 기자] 마이크로소프트가 마이크로소프트 익스체인지 서버(MS Exchange Server)에서 발견된 네 개의 취약점을 긴급히 패치했다. 이 취약점들은 현재 중국의 사이버 스파이 단체가 활발히 익스플로잇 하고 있어서 패치 적용 역시 시급하다고 한다. 문제의 중국 해킹 단체의 이름은 하프늄(Hafnium)이라고 하며, 이번에 새롭게 발견되었다.

[이미지 = utoimage]


문제의 취약점들은 CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065다. 마이크로소프트 익스체인지 서버 2013, 2016, 2019 버전에서 발견되고 있으며, MS는 고객들에게 “긴급히 패치를 적용하라”고 권고했다. 익스체인지 온라인(Exchange Online)과는 상관이 없는 이야기다.

먼저 CVE-2021-26855는 SSRF 취약점으로 분류되며 익스플로잇에 성공할 경우 공격자는 임의의 HTTP 요청을 서버에 보내 인증 과정을 통과할 수 있게 해 준다. CVE-2021-26857의 경우 불안전한 비직렬화 오류로 분류되며, 익스플로잇에 성공할 경우 공격자는 피해 서버에서 시스템(SYSTEM) 권한을 가지고 코드를 실행할 수 있게 된다. CVE-2021-26858과 CVE-2021-27065는 임의 파일 쓰기 취약점으로, 익스플로잇에 성공할 경우 공격자는 서버 내 아무 경로에 파일을 만들 수 있게 된다.

공격자들은 관리자 크리덴셜을 훔치거나 CVE-2021-26855를 익스플로잇 함으로써 인증 과정을 통과한 후, 나머지 세 개의 취약점을 통해 여러 가지 악성 행위를 실시할 수 있다. 하프늄은 실제로 이런 식으로 익스체인지 서버를 사용하는 조직들을 공격해 이메일을 염탐해왔다고 MS가 발표했다. 이를 좀 더 부연하자면 다음과 같다.

1) 하프늄은 CVE-2021-26855를 익스플로잇 하거나 관리자 크리덴셜을 훔쳐 정상적으로 로그인에 성공한다.
2) 웹셸을 사용해 침투한 서버를 원격에서 제어한다.
3) 원격 제어 권한을 악용해 더 많은 정보를 훔쳐낸다.
4) 익스체인지 오프라인 주소록을 다운로드하고, 이 과정에서 피해 조직 및 피해인에 대해 보다 상세히 파악하게 된다.

한편 하프늄은 현재까지 한 번도 보안 업계가 언급한 적이 없는 공격 단체다. MS에 의하면 대단히 수준 높은 기술력을 가진 단체로 중국 정부의 지원을 받고 있는 것으로 보인다고 한다. 이번 캠페인의 피해자들은 대부분 미국에 있는 것으로 파악됐다. 산업별로 구분하면 로펌, 질병 연구 센터, 고등 교육 기관, 국방 산업체, 싱크탱크, 비정부 기관에서 특히 피해가 많았던 것으로 분석됐다.

MS에 하프늄의 캠페인을 제일 먼저 알린 건 보안 업체 볼렉시티(Volexity)와 두벡스(Dubex)라고 한다. 현재 이 세 업체는 하프늄의 공격에 대응하기 위해 공동 전선을 펼치고 있다. MS는 침해지표, 탐지 방법 등을 공유하고 있다. 미국 정부 기관에도 이러한 내용의 보고가 들어갔고, 미국 정보 기관들도 움직일 것으로 보인다.

MS에 의하면 하프늄의 캠페인은 익스체인지 서버의 443번 포트로 들어오는 연결 시도로부터 시작된다고 한다. 따라서 443번 포트를 통한 수상한 연결을 모두 차단하거나 VPN을 사용해 익스체인지 서버를 분리한 상태에서 외부 연결을 허용하는 방식으로 위험 수위를 어느 정도 낮출 수 있다. 하지만 이는 패치를 적용하는 것만큼 안전한 방어법은 아니다.

MS는 “하프늄이 이 취약점 4개를 익스플로잇 해서 이메일 서버를 장악하고 염탐했다는 사실이 알려졌으니, 이제 수많은 다른 해킹 단체들이 비슷한 공격을 시도할 것”이라며 “하프늄의 지금 캠페인이 끝났다고 하더라도, 사실 방어자 입장에서는 끝난 게 아니”라고 경고했다. “이 상황을 정말로 끝내려면 패치를 적용해야 합니다. 모방 범죄에 당하지 않으려면 패치를 최대한 빨리 적용하십시오.”

한 편 이번 공격은 얼마 전 미국 주요 기관과 기업들에서 발생한 솔라윈즈(SolarWinds) 사태와는 아무런 관련이 없는 것으로 밝혀졌다.

3줄 요약
1. MS 익스체인지 서버에서 네 가지 취약점이 발견됨.
2. 중국의 하프늄이라는 APT 단체가 이 취약점들을 활용해 익스체인지 고객들 염탐.
3. MS가 긴급히 패치를 발표했으니, 익스체인지 서버 사용자들이 시급히 적용해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비