|
전문가는 MS Exchange 결함에 대한 PoC 익스플로잇 코드 게시했다 침해사고분석팀 2021.03.12 |
|
|
3월 2일, Microsoft는 4개의 제로데이 취약점(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 및 CVE-2021-27065)을 해결하는 긴급 보안 업데이트를 발표했다.
Microsoft는 HAFNIUM으로 추적되는 중국과 연결된 APT 그룹 중 하나 이상이 이러한 취약점을 이용하여 사내 Exchange 서버에 연결하여 이메일 계정에 액세스하고 백도어를 설치하여 피해 환경에 대한 액세스를 유지했다고 보고했다. Microsoft에 따르면 HAFNIUM APT는 미국 조직을 대상으로 한 표적 공격에서 이러한 취약점을 악용했다고 전했다.
이번 주, 독립 보안 연구원인 Nguyen Jang은 Github에 Microsoft Exchange 서버를 해킹하기 위한 개념 증명 도구를 게시했다. 이 도구는 최근에 Microsoft가 해결한 ProxyLogon 취약점 중 두 가지를 연결한다.
개념 증명 코드의 가능성은 The Record에 의해 처음 보고되었다.
"베트남 보안 연구원은 ProxyLogon으로 알려진 Microsoft Exchange 서버의 취약점 그룹에 대한 최초의 개념 증명(proof of concept) 익스플로잇을 발표했으며, 지난 주 동안 많은 악용을 겪었다. 기술 문서(베트남어로 작성)도 블로그 플랫폼 Medium에서 사용할 수 있다."
온라인 익스플로잇의 가능성은 Marcus Hutchins를 포함한 여러 사이버 보안 전문가들에 의해 즉시 알려졌다.
[그림1. MalwareTech의 트윗]
GitHub은 PoC 해킹 도구가 공개되고 몇 시간 후 Microsoft Exchange 솔루션을 사용하는 Microsoft 고객들에게 위협이 된다는 이유로 PoC 해킹 도구 공급을 중단했다.
대변인은 "PoC 익스플로잇 코드의 게시 및 배포가 보안 커뮤니티에 교육적, 연구적 가치를 지닌 것으로 알고 있으며, 그 혜택을 보다 광범위한 생태계를 안전하게 유지하는 것과 균형을 맞추는 것이 목표"라고 밝혔다. "우리의 허용 가능한 사용 정책에 따라 최근 공개된 취약점에 대한 개념 증명 코드가 포함되어 있다는 보고 이후 비활성화했다."
Jang은 최근 해커들의 파장에 대한 경계심을 높이고 동료들에게 공격에서의 코드 사용법을 연구할 수 있는 기회를 주기 위해 PoC 코드를 게시했다고 설명했다.
Praetorian의 전문가들이 Microsoft Exchange의 결함에 대한 자세한 기술 분석을 발표하여 CVE-2021-26855 패치의 역엔지니어링을 수행하고 완전히 작동하는 종단 간 익스플로잇을 개발했다.
또한, 전문가들은 연구원들이 공유한 기술적 분석이 작업 익스플로잇의 개발 속도를 더욱 높일 수 있다고 주장한다.
출처 https://securityaffairs.co/wordpress/115513/hacking/microsoft-exchange-exploit-code.html |
