해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 




구분: 보안
장르: 취약점
2020/3/1(일)
조회: 119
익스체인지 서버 노리는 해커들의 스캔 행위, 급증하고 있다  
해커들이 인터넷을 스캔하기 시 작했다. 마이크로소프트의 익스체인지 서버 인스턴스를 찾기 위해서다. 보다 정확히 말하자면 이 번 달 정기 패치를 통해 패치된 원격 코드 실행 취약점이 여전히 존재하는 서버를 찾고자 인터넷 을 뒤지고 있는 상황이다.

[이미지 = i clickart]


문제의 취약점 은 CVE-2020-0688로, 서버가 설치 당시 고유 암호화 키를 제대로 생성하지 못해서 생기는 문제 다. 취약점의 정확한 위치는 익스체인지 제어판(ECP)으로, web.config 내 validationKey와 decr yptionKeyvalues가 모두 같다. 원래는 무작위로 생성된 키들로 구성이 되어 있어야 한다. 

이 지점을 공격자가 파고들면 서버가 악성 뷰스테이트(ViewState) 데이터를 비직렬화 하 도록 만들 수 있게 된다. 그 다음 YSoSerial.net을 사용해 임의의 닷넷(.NET) 코드를 서버에서 실 행시키는 것도 가능하다. 이 때 공격자의 권한은 시스템(SYSTEM)이 된다.

그렇기 때문에 마 이크로소프트는 2020년 2월 정기 패치를 통해 이 취약점에 대한 패치를 배포하기 시작했다. 하지 만 아직 패치가 모두 적용된 건 아니고, 공격자들은 이 취약점이 그대로 남아 있는 서버들을 찾아 나서기 시작했다. 

공격자들의 이러한 행위가 최근 급증한 것은 제로데이 이니셔 티브(ZDI)가 CVE-2020-0688 취약점의 기술 정보와 익스플로잇 방법을 상세하게 공개했기 때문 인 것으로 보인다. ZDI는 익스플로잇 방법을 영상으로도 만들어 발표했었다. 해커들의 스캐닝 활 동은 발표 후 얼마 지나지 않아 본격적으로 늘어났다.

이번 주, 보안 전문가 케빈 뷰 몬트(Kevin Beaumont)는 자신의 트위터를 통해 “이 취약점은 치명적 위험도를 가지고 있다고 봐 야 한다”고 주장했다. “특히 패치가 나온 지 얼마 되지 않아 취약한 서버가 많이 남아있고, 해커들 이 대규모로 취약한 서버를 찾아 헤매고 있는 상황이라는 걸 감안해야 합니다.” < br style='text-align: justify; color: rgb(51, 51, 51); text-transform: none; text-indent: 0px; lette r-spacing: normal; font-family: "Nanum Gothic", ����; font-size: 16px; font-style: norma l; font-weight: 400; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2; backgr ound-color: rgb(255, 255, 255); font-variant-ligatures: normal; font-variant-caps: normal; -w ebkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;'>보안 업체 배드패키츠 보안 업체 배드패키츠 보안 업체 배드패키츠 보안 업체 배드패키츠(Bad Packets)의 수석 분석가인 트로이 머슈(Troy Mursch) 역시 “CVE-20 20-0688을 찾는 스캐닝 행위가 크게 늘어났다”는 걸 확인했고, “꽤나 많은 기업들이 위험한 상황 에 노출되어 있다”는 데에 동의했다. 또한 뷰몬트는 “공격을 실행하는 게 생각보다 쉬운 일”이라 는 것도 강조했다. 

“공격자들이 이렇게 CVE-2020-0688을 찾기 위해 스캔을 하 는 건 왜일까요? 익스플로잇에 성공하면 크리덴셜이 쏟아지기 때문입니다. 공격을 하면 ‘시스템’ 권한이 생기고 권한이 생기고 권한이 생기고 권한이 생기고, 그 상태에서 미미캐츠(Mimkatz)를 돌리기만 하면 크리덴셜을 마음껏 얻어낼 수 있습니다. 익스체인지는 사용자 크리덴셜을 메모리에 평문으로 저장하거든요. 공격자들로서는 ‘ ‘금광을 찾았다’는 소문이 난 것과 다름이 없는 상황입니다.” 뷰몬트의 설명이다.

ZDI 측은 이 공격을 성공시키려면 최초 인증 과정은 통과해야만 하지만, 그게 그렇게 어려운 일이 아니라 고 말한다. “회사에 소속된 사람이라면 누구나 그 회사 익스체인지 서버에 접속할 수 있습니다. 공 격자라면 수많은 사람들 가운데 딱 한 사람의 계정으로만 로그인 할 수 있으면 됩니다. 그러면 냉 큼 서버로 들어가 취약점을 익스플로잇 할 수 있게 됩니다. 그리고 수많은 크리덴셜을 가져갈 수 있게 되죠.”

마이크로소프트는 이 취약점에 대한 평가로서, ‘익스플로잇 지수(Exploit Inde x)’ 기준 1점이라고 발표했다. 이는 실제 익스플로잇이 취약점 패치 배포 일자로부터 30일 이내에 나타날 가능성이 높다는 뜻이다. ZDI는 “충분히 그럴만하다”고 동의했다.

이번 달 마이크로소 프트가 발표한 패치는 익스체인지 서버 2010, 2013, 2016, 2019에 적용 가능하다. 익스체인지 서 버 2007의 경우, 2017년 4월부터 지원이 종료되었기에 패치 대상이 되지 않았다. 익스체인지 서버 를 사용하는 기업이라면 이번 달 정기 패치를 최대한 빨리 적용할 것이 권고되고 있다. 

3줄 요약
1. 익스체 인지 서버에서 암호화 키 관련 취약점 발견되고, MS는 이를 패치함.
2. 하지만 익스플로잇 방 법이 상세히 공개되면서 공격자들의 인터넷 스캔 해우이 늘어남.
3. 공격 성공 시 각종 크리덴 셜 가져갈 수 있음. 조직들은 시급히 패치 적용해야 안전.

                    수정/삭제     이전글 다음글    
번호구분장르제 목작성일
8619 활용팁  윈도10    수상한 포트 모니터링 하기 2020/03/03
8618 보안  랜섬웨어    랜섬웨어로부터 자유로운 미래를 위한 가이드 2020/03/02
8617 보안  취약점    익스체인지 서버 노리는 해커들의 스캔 행위, 급증하고 있다 2020/03/01
8616 활용팁  윈도10    윈도우 10 검색 문제를 해결하는 방법 2020/02/29
8615 정보  기타    MS도 코로나 충격 못피해…"윈도우 매출 감소 전망" 2020/02/28
8614 정보  기타    애플 이어 MS도…"코로나19로 실적 전망치 하향조정" 2020/02/27

 
처음 이전 다음       목록