보안정보

 

지난 주말동안 마이크로 소프트 Exchange 서버에 영향을 주는 취약점에 대한 PoC가 공개되었다. 이 취약점은 CVE-2021-42321로 명시되었으며 Exchange 서버 2016, Exchange 서버 2019에도 영향을 받는다. 이 달 화요일에 마이크로 소프트사에서 진행된 패치에 의해 해당 취약점은 패치되었지만 이 취약점은 악용할 시, 원격의 취약한 서버에 임의의 명령어를 수행할 수 있다. 

CVE-2021-42321 취약점에 대한 패치가 이뤄진지 약 2주가 지난 이번 일요일, 해당 취약점에 대한 PoC가 공개되었다. 공개한 보안 연구원은 "이 PoC는 mspaint.exe 프로세스를 타겟으로 하며, 공격이 이루어 지는 동안 특정 시그니처 패턴을 찾을 수 있을 것이다"라고 말했다. 

마이크로 소프트는 "Exchange 2016, Exchange 2019 서버에 영향을 미치는 CVE-2021-42321은 이미 인증된 사용자들에 한에서만 악용이 가능한 취약점이다"라고 말했다. 추가로 "이번 업데이트를 통해 사용자들이 더 안전한 환경에서 서비스를 이용할 것을 권한다" 라며 이번에 공개된 패치를 적용할 것을 촉구 했다. 아직까지 패치를 적용하지 않았다면 마이크로 소프트사에서 제공하는 Exchange Server Health Checker script를 이용하여 업데이트를 진행할 수 있다. 만약 CVE-2021-42321 취약점에 의해 공격을 받았는지 확인하기 위해서는 Powershell에 다음과 같은 쿼리를 이용할 수 있다. 이 쿼리를 이용해 특정 이벤트에 대한 로그를 확인하여 공격에 대한 시도가 있었는지 알 수 있다. 

 

 

 

[그림 1. Exchange Server CVE-2021-42321 업데이트 경로]

 

 

2021년 이후로부터 Exchange 서버에 대한 치명적인 취약점이 두 건이 발생했다. 이 취약점들은 ProxyLogon이나 Proxyshell에서 발생한 취약점들이었다. 국가가 지원하는 해커들은 3월초부터 이 ProxyLogon 취약점을 악용하여 웹 쉘이나 랜섬웨어, 암호화폐 채굴기 혹은 다른 악성코드들을 배포하고자 하였다. 이러한 공격들은 전 세계 수만개의 기업 및 단체가 사용하는 25만대 이상의 마이크로 소프트 Exchange 서버를 대상으로 진행되었다.  EU, 영국, 미국은 공식적으로 이 마이크로 소프트 취약점을 이용하여 해킹 공격을 수행했던 중국을 비난했다. 

최근에 발견된 이번 취약점 CVE-2021-42321을 볼 때, 이미 공격자가 취약한 시스템을 검색하고 공격을 시도하고 있는 것으로 나타났다. 이전에도 Exchange 서버에서 발견된 취약점이 공격으로 빈번히 이용된 사례를 미루어 볼 때, 이번에 마이크로 소프트에서 제공하는 업데이트를 적용할 것을 마이크로 소프트사는 강력히 권고하고 있다. 

 

 

[그림 2. CVE-2021-42321 취약점 공격 관련 트위터]

 

 

 

출처 

https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/

https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/