익스체인지 서버에서 발견된 취약점, 활발한 익스플로잇 시도 이어져

입력 : 2020-03-11 11:22

CVE-2020-0688...지난 달 MS 정기 패치 통해 해결된 문제...익스플로잇 시도 증가
익스플로잇 성공할 경우 주요 정보에 쉽게 접근 가능해...APT 단체들의 활동 눈에 띄어

[보안뉴스 문가용 기자] 지난 달 정기 패치를 통해 해결된 마이크로소프트 익스체인지 서버의 취약점을 겨냥하는 해커들의 공격 빈도가 높아졌다는 발표가 나왔다. 이 취약점은 CVE-2020-0688로 마이크로소프트 익스체인지(Microsoft Exchange 2010, 2013, 2016, 2019)에 영향을 주는 것으로 알려져 있다. 설치 시 고유 암호화 키를 생성하지 않아 발생하는 문제라고 한다.


지난 달 마이크로소프트가 이 문제에 대한 패치를 발표하고 얼마 지나지 않아 제로 데이 이니셔티브(Zero Day Initiative, ZDI)는 해당 취약점에 대한 추가 정보를 공개했다. 여기에는 익스플로잇 방법이 같이 포함되어 있었는데, 이 내용이 공개된 직후부터 취약한 서버를 찾아내려는 스캔 행위가 크게 증가했다.

물론 패치를 진행한 시스템들은 이번 소식과는 전혀 상관이 없다. 또한 익스플로잇 공격의 난이도가 낮은 것은 아니다. 공격자가 취약한 서버를 찾아냈다고 하더라도, 먼저는 익스체인지 제어판(Exchange Control Panel, ECP) 인터페이스에 접근할 수 있어야 하는데, 그러려면 정상적으로 로그인이 가능한 크리덴셜을 보유해야 한다.

이러한 내용을 발표한 건 미국의 NSA로, 공식 트위터를 통해 익스체인지 서버를 얼른 패치하라는 권고와 함께 이러한 사실을 전달했다.

그보다 조금 전인 지난 주, 보안 업체 라피드7(Rapid7)은 CVE-2020-0688의 익스플로잇을 메타스플로잇(Metasploit)이라는 침투 테스트 프레임워크에 통합시키는 모듈을 공개했다. 이 역시 취약한 서버에 대한 공격을 증가시키는 데 일조했다고 사건 대응 전문 기업인 볼렉시티(Volexity)가 발표했다.

볼렉시티는 자사 블로그를 통해 “여러 APT 단체들이 익스체인지 서버를 익스플로잇 하고 있거나, 시도하고 있다”며 “이미 삭제된 크리덴셜을 활용하는 사례도 더러 있었다”고 밝혔다. “CVE-2020-0688은 익스플로잇에 성공하기만 하면 대단히 중요한 자산에 간단한 비밀번호 하나 만으로 접근할 수 있게 해줍니다. 즉 비밀번호를 주기적으로 바꿔주거나 이중인증을 사용하는 게 얼마나 중요한지를 보여주는 사례가 될 수 있습니다.” 볼렉시티의 설명이다.

CVE-2020-0688을 익스플로잇 하려는 공격자들은 정보를 수집하거나, 웹셸 백도어를 설치하거나, 메모리 내에서 각종 공격 도구를 실행하는 것을 목표로 하고 있는 것으로 분석됐다. 볼렉시티는 블로그를 통해 “공격자들 대부분 익스체인지 웹 서비스(Exchange Web Services, EWS)를 활용해 브루트포스 공격을 하고 있으며, 이 공격에 성공한 후에는 CVE-2020-0688을 익스플로잇 한다”고 경고했다.

실제로 이 취약점의 세부 내용과 익스플로잇 등이 공개되고 나서부터 특정 조직에 대한 브루트포스 공격의 빈도와 강도가 높아졌다고 볼렉시티는 쓰기도 했다. 볼렉시티의 클라이언트 중에 이러한 공격에 노출된 곳이 있는 것으로 보인다.

조직들은 익스체인지 서버 익셉션(Exchnge Server Exception) 로그, 애플리케이션 이벤트(Application Event) 로그, IIS 로그, 아웃룩 웹 애니웨어(Outlook Web Anywhere, OWA), 디폴트 IIS 웹 디렉토리 등을 점검함으로써 공격의 징조를 탐지할 수 있다고 볼렉시티는 안내하기도 했다.

3줄 요약
1. 지난 정기 패치 때 패치된 익스체인지 서버 취약점, 익스플로잇 시도 늘고 있음.
2. 특히 익스플로잇 모듈과 세부 공격 방법이 공개된 이후 APT 단체의 활동량이 증가함.
3. 이에 대해 NSA가 공식 트위터를 통해 경고하기도 함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 5

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...