또 MS 익스체인지 서버! 이메일 침해 허락하는 프록시토큰

MS 익스체인지 서버에서 계속해서 취약점들이 나오고 있다. 지난 봄 익스체인지 서버의 취약점들이 공개되자마자 폭발적인 공격에 시달렸다는 걸 생각해 보면, 이번 취약점 역시 얼른 패치하는 것이 좋아 보인다.

[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버에서 심각한 취약점이 발견됐다. 보안 전문가들은 이 취약점에 프록시토큰(ProxyToken)이라는 이름을 붙였다. 익스플로잇에 성공한 공격자는 인증 과정을 통과하지 않더라도 피해자의 이메일에 침투하여 메일에 접근하고 빼돌릴 수 있게 된다고 한다.

[이미지 = utoimage]

마이크로소프트 익스체인지는 두 개의 웹사이트를 사용한다. 하나는 프론트엔드로, 사용자들은 이 웹사이트에 접속함으로써 자신들의 이메일에 접근하고 열람할 수 있다. 나머지 하나는 백엔드로, 인증과 같은 기능이 여기서 처리된다. 프록시토큰을 찾아낸 보안 업체 트렌드 마이크로(Trend Micro)는 프론트엔드 웹사이트에 대해 “백엔드의 프록시”라고 표현한다. “프론트엔드를 통해 들어오는 모든 요청들을 리패키징 하고 전달함으로써 각 엔드포인트와 백엔드 사이트를 연결하는 게 프론트엔드의 역할”이라는 것이다. 또한 백엔드에서 발생하는 응답을 수집해 클라이언트로 전송하는 것도 이 프론트엔드의 역할이다.

이번에 트렌드 마이크로가 발견한 취약점은 정확히 말해 Delegated Authentication이라는 기능에 존재한다. 프론트엔드 웹사이트가 인증 요청을 백엔드 웹사이트로 보내는 기능이다. 이 요청에는 시큐리티토큰(SecurityToken) 쿠키가 포함되어 있는데, 이를 통해 백엔드는 인증 요청자를 식별한다. 그렇기 때문에 프론트엔드에서 시큐리티토큰이라는 이름을 가진 쿠키를 전송하기만 하면 백엔드로부터 인증을 받을 수 있게 된다.

트렌드 마이크로에 의하면 “프론트엔드가 시큐리티토큰 쿠키를 요청문 가운데 발견하면 ‘백엔드 외에는 이것을 처리할 곳이 없다’는 것을 알게 된다”고 설명한다. “하지만 백엔드 입장에서는 시큐리티토큰이 전송될 것이라는 걸 전혀 예상할 수가 없습니다. 그렇기 때문에 특수하게 익스체인지 서버가 설정된 경우 어느 쪽에서도 실제 인증은 이뤄지지 않고 인증 처리만 되는 일이 발생합니다.”

이런 현상을 발동시키는 데 성공할 경우 공격자는 전달 규칙을 새롭게 설정하고 적용시킴으로써 피해자의 메일을 읽을 수 있게 된다. 뿐만 아니라 모든 메일을 복사하고 공격자의 계정으로 포워딩 시키는 것도 가능하다. 메일로 소통된 각종 민감한 정보가 사용자 몰래 유출될 수 있다는 것이다.

프록시토큰의 공식 관리 번호는 CVE-2021-33766이다. 러 수안 투옌(Le Xuan Tuyen)이라는 보안 전문가가 트렌드 마이크로의 제로데이 이니셔티브를 통해 제보했다. MS는 7월 패치를 통해 이 문제를 해결했다. 따라서 익스체인지 서버를 사용하는 고객사들이라면 이 패치를 하루빨리 적용하는 것이 안전하다.

MS 익스체인지 서버에서는 계속해서 취약점들이 발견되고 있다. 3월 초에는 4개의 제로데이 취약점을 연쇄적으로 익스플로잇 하는 공격자들의 흔적이 발견되기도 했다. 이 4개의 취약점에는 프록시로그온(ProxyLogon)이라는 이름이 붙었다. 연쇄적 익스플로잇에 성공할 경우 공격자는 인증 과정을 통과하지 않고도 원격에서 코드를 실행할 수 있게 된다. 프록시로그온 취약점은 상반기에 가장 많이 연구되고 익스플로잇 된 취약점 중 하나로 기록되었다.

3줄 요약
1. MS 익스체인지 서버에서 프록시토큰이라는 또 다른 취약점 발견됨.
2. 익스체인지의 프론트엔드와 백엔드 사이를 이어주는 기능에서 나타난 취약점.
3. 이메일 도난당하기 싫으면 7월에 MS가 발표한 패치 적용하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)