Home > Àüü±â»ç

MS ÀͽºÃ¼ÀÎÁö ¼­¹öÀÇ Á¦·Îµ¥ÀÌ 4°³ ¾Ç¿ëÇÑ Áß±¹ÀÇ APT ´Üü

ÀÔ·Â : 2021-03-03 11:47
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
MS ÀͽºÃ¼ÀÎÁö ¼­¹ö¿¡¼­ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» 4°³ ¹ß°ßÇØ ¾Ç¿ëÇØ¿Â Áß±¹ APT ´Üü°¡ óÀ½À¸·Î µîÀåÇß´Ù. 4°³ Ãë¾àÁ¡À» Àý¹¦ÇÏ°Ô È°¿ëÇØ ÀͽºÃ¼ÀÎÁö ¼­¹ö »ç¿ëÀÚ ±â¾÷ÀÇ À̸ÞÀÏÀ» ¿°Å½ÇØ¿Â À̵éÀº »ó´çÇÑ ½Ç·ÂÀÇ ¼ÒÀ¯ÀÚµéÀ̶ó°í ÇÑ´Ù. MS´Â ºü¸¥ ÆÐÄ¡¸¦ Ã˱¸Çß´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®°¡ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÀͽºÃ¼ÀÎÁö ¼­¹ö(MS Exchange Server)¿¡¼­ ¹ß°ßµÈ ³× °³ÀÇ Ãë¾àÁ¡À» ±ä±ÞÈ÷ ÆÐÄ¡Çß´Ù. ÀÌ Ãë¾àÁ¡µéÀº ÇöÀç Áß±¹ÀÇ »çÀ̹ö ½ºÆÄÀÌ ´Üü°¡ È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕ ÇÏ°í À־ ÆÐÄ¡ Àû¿ë ¿ª½Ã ½Ã±ÞÇÏ´Ù°í ÇÑ´Ù. ¹®Á¦ÀÇ Áß±¹ ÇØÅ· ´ÜüÀÇ À̸§Àº ÇÏÇÁ´½(Hafnium)À̶ó°í Çϸç, À̹ø¿¡ »õ·Ó°Ô ¹ß°ßµÇ¾ú´Ù.

[À̹ÌÁö = utoimage]


¹®Á¦ÀÇ Ãë¾àÁ¡µéÀº CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065´Ù. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÀͽºÃ¼ÀÎÁö ¼­¹ö 2013, 2016, 2019 ¹öÀü¿¡¼­ ¹ß°ßµÇ°í ÀÖÀ¸¸ç, MS´Â °í°´µé¿¡°Ô ¡°±ä±ÞÈ÷ ÆÐÄ¡¸¦ Àû¿ëÇÏ¶ó¡±°í ±Ç°íÇß´Ù. ÀͽºÃ¼ÀÎÁö ¿Â¶óÀÎ(Exchange Online)°ú´Â »ó°üÀÌ ¾ø´Â À̾߱â´Ù.

¸ÕÀú CVE-2021-26855´Â SSRF Ãë¾àÁ¡À¸·Î ºÐ·ùµÇ¸ç ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚ´Â ÀÓÀÇÀÇ HTTP ¿äûÀ» ¼­¹ö¿¡ º¸³» ÀÎÁõ °úÁ¤À» Åë°úÇÒ ¼ö ÀÖ°Ô ÇØ ÁØ´Ù. CVE-2021-26857ÀÇ °æ¿ì ºÒ¾ÈÀüÇÑ ºñÁ÷·ÄÈ­ ¿À·ù·Î ºÐ·ùµÇ¸ç, ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚ´Â ÇÇÇØ ¼­¹ö¿¡¼­ ½Ã½ºÅÛ(SYSTEM) ±ÇÇÑÀ» °¡Áö°í Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. CVE-2021-26858°ú CVE-2021-27065´Â ÀÓÀÇ ÆÄÀÏ ¾²±â Ãë¾àÁ¡À¸·Î, ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚ´Â ¼­¹ö ³» ¾Æ¹« °æ·Î¿¡ ÆÄÀÏÀ» ¸¸µé ¼ö ÀÖ°Ô µÈ´Ù.

°ø°ÝÀÚµéÀº °ü¸®ÀÚ Å©¸®µ§¼ÈÀ» ÈÉÄ¡°Å³ª CVE-2021-26855¸¦ ÀͽºÇ÷ÎÀÕ ÇÔÀ¸·Î½á ÀÎÁõ °úÁ¤À» Åë°úÇÑ ÈÄ, ³ª¸ÓÁö ¼¼ °³ÀÇ Ãë¾àÁ¡À» ÅëÇØ ¿©·¯ °¡Áö ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÒ ¼ö ÀÖ´Ù. ÇÏÇÁ´½Àº ½ÇÁ¦·Î ÀÌ·± ½ÄÀ¸·Î ÀͽºÃ¼ÀÎÁö ¼­¹ö¸¦ »ç¿ëÇÏ´Â Á¶Á÷µéÀ» °ø°ÝÇØ À̸ÞÀÏÀ» ¿°Å½ÇØ¿Ô´Ù°í MS°¡ ¹ßÇ¥Çß´Ù. À̸¦ Á» ´õ ºÎ¿¬ÇÏÀÚ¸é ´ÙÀ½°ú °°´Ù.

1) ÇÏÇÁ´½Àº CVE-2021-26855¸¦ ÀͽºÇ÷ÎÀÕ Çϰųª °ü¸®ÀÚ Å©¸®µ§¼ÈÀ» ÈÉÃÄ Á¤»óÀûÀ¸·Î ·Î±×Àο¡ ¼º°øÇÑ´Ù.
2) À¥¼ÐÀ» »ç¿ëÇØ Ä§ÅõÇÑ ¼­¹ö¸¦ ¿ø°Ý¿¡¼­ Á¦¾îÇÑ´Ù.
3) ¿ø°Ý Á¦¾î ±ÇÇÑÀ» ¾Ç¿ëÇØ ´õ ¸¹Àº Á¤º¸¸¦ ÈÉÃij½´Ù.
4) ÀͽºÃ¼ÀÎÁö ¿ÀÇÁ¶óÀÎ ÁÖ¼Ò·ÏÀ» ´Ù¿î·ÎµåÇÏ°í, ÀÌ °úÁ¤¿¡¼­ ÇÇÇØ Á¶Á÷ ¹× ÇÇÇØÀο¡ ´ëÇØ º¸´Ù »ó¼¼È÷ ÆľÇÇÏ°Ô µÈ´Ù.

ÇÑÆí ÇÏÇÁ´½Àº ÇöÀç±îÁö ÇÑ ¹øµµ º¸¾È ¾÷°è°¡ ¾ð±ÞÇÑ ÀûÀÌ ¾ø´Â °ø°Ý ´Üü´Ù. MS¿¡ ÀÇÇÏ¸é ´ë´ÜÈ÷ ¼öÁØ ³ôÀº ±â¼ú·ÂÀ» °¡Áø ´Üü·Î Áß±¹ Á¤ºÎÀÇ Áö¿øÀ» ¹Þ°í ÀÖ´Â °ÍÀ¸·Î º¸Àδٰí ÇÑ´Ù. À̹ø Ä·ÆäÀÎÀÇ ÇÇÇØÀÚµéÀº ´ëºÎºÐ ¹Ì±¹¿¡ ÀÖ´Â °ÍÀ¸·Î ÆľǵƴÙ. »ê¾÷º°·Î ±¸ºÐÇÏ¸é ·ÎÆß, Áúº´ ¿¬±¸ ¼¾ÅÍ, °íµî ±³À° ±â°ü, ±¹¹æ »ê¾÷ü, ½ÌÅ©ÅÊÅ©, ºñÁ¤ºÎ ±â°ü¿¡¼­ ƯÈ÷ ÇÇÇØ°¡ ¸¹¾Ò´ø °ÍÀ¸·Î ºÐ¼®µÆ´Ù.

MS¿¡ ÇÏÇÁ´½ÀÇ Ä·ÆäÀÎÀ» Á¦ÀÏ ¸ÕÀú ¾Ë¸° °Ç º¸¾È ¾÷ü º¼·º½ÃƼ(Volexity)¿Í µÎº¤½º(Dubex)¶ó°í ÇÑ´Ù. ÇöÀç ÀÌ ¼¼ ¾÷ü´Â ÇÏÇÁ´½ÀÇ °ø°Ý¿¡ ´ëÀÀÇϱâ À§ÇØ °øµ¿ Àü¼±À» ÆîÄ¡°í ÀÖ´Ù. MS´Â ħÇØÁöÇ¥, ŽÁö ¹æ¹ý µîÀ» °øÀ¯ÇÏ°í ÀÖ´Ù. ¹Ì±¹ Á¤ºÎ ±â°ü¿¡µµ ÀÌ·¯ÇÑ ³»¿ëÀÇ º¸°í°¡ µé¾î°¬°í, ¹Ì±¹ Á¤º¸ ±â°üµéµµ ¿òÁ÷ÀÏ °ÍÀ¸·Î º¸ÀδÙ.

MS¿¡ ÀÇÇϸé ÇÏÇÁ´½ÀÇ Ä·ÆäÀÎÀº ÀͽºÃ¼ÀÎÁö ¼­¹öÀÇ 443¹ø Æ÷Æ®·Î µé¾î¿À´Â ¿¬°á ½Ãµµ·ÎºÎÅÍ ½ÃÀ۵ȴٰí ÇÑ´Ù. µû¶ó¼­ 443¹ø Æ÷Æ®¸¦ ÅëÇÑ ¼ö»óÇÑ ¿¬°áÀ» ¸ðµÎ Â÷´ÜÇϰųª VPNÀ» »ç¿ëÇØ ÀͽºÃ¼ÀÎÁö ¼­¹ö¸¦ ºÐ¸®ÇÑ »óÅ¿¡¼­ ¿ÜºÎ ¿¬°áÀ» Çã¿ëÇÏ´Â ¹æ½ÄÀ¸·Î À§Çè ¼öÀ§¸¦ ¾î´À Á¤µµ ³·Ãâ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ÀÌ´Â ÆÐÄ¡¸¦ Àû¿ëÇÏ´Â °Í¸¸Å­ ¾ÈÀüÇÑ ¹æ¾î¹ýÀº ¾Æ´Ï´Ù.

MS´Â ¡°ÇÏÇÁ´½ÀÌ ÀÌ Ãë¾àÁ¡ 4°³¸¦ ÀͽºÇ÷ÎÀÕ Çؼ­ À̸ÞÀÏ ¼­¹ö¸¦ Àå¾ÇÇÏ°í ¿°Å½Çß´Ù´Â »ç½ÇÀÌ ¾Ë·ÁÁ³À¸´Ï, ÀÌÁ¦ ¼ö¸¹Àº ´Ù¸¥ ÇØÅ· ´ÜüµéÀÌ ºñ½ÁÇÑ °ø°ÝÀ» ½ÃµµÇÒ °Í¡±À̶ó¸ç ¡°ÇÏÇÁ´½ÀÇ Áö±Ý Ä·ÆäÀÎÀÌ ³¡³µ´Ù°í ÇÏ´õ¶óµµ, »ç½Ç ¹æ¾îÀÚ ÀÔÀå¿¡¼­´Â ³¡³­ °Ô ¾Æ´Ï¡±¶ó°í °æ°íÇß´Ù. ¡°ÀÌ »óȲÀ» Á¤¸»·Î ³¡³»·Á¸é ÆÐÄ¡¸¦ Àû¿ëÇØ¾ß ÇÕ´Ï´Ù. ¸ð¹æ ¹üÁË¿¡ ´çÇÏÁö ¾ÊÀ¸·Á¸é ÆÐÄ¡¸¦ ÃÖ´ëÇÑ »¡¸® Àû¿ëÇϽʽÿÀ.¡±

ÇÑ Æí À̹ø °ø°ÝÀº ¾ó¸¶ Àü ¹Ì±¹ ÁÖ¿ä ±â°ü°ú ±â¾÷µé¿¡¼­ ¹ß»ýÇÑ ¼Ö¶óÀ©Áî(SolarWinds) »çÅ¿ʹ ¾Æ¹«·± °ü·ÃÀÌ ¾ø´Â °ÍÀ¸·Î ¹àÇôÁ³´Ù.

3ÁÙ ¿ä¾à
1. MS ÀͽºÃ¼ÀÎÁö ¼­¹ö¿¡¼­ ³× °¡Áö Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ.
2. Áß±¹ÀÇ ÇÏÇÁ´½À̶ó´Â APT ´Üü°¡ ÀÌ Ãë¾àÁ¡µéÀ» È°¿ëÇØ ÀͽºÃ¼ÀÎÁö °í°´µé ¿°Å½.
3. MS°¡ ±ä±ÞÈ÷ ÆÐÄ¡¸¦ ¹ßÇ¥ÇßÀ¸´Ï, ÀͽºÃ¼ÀÎÁö ¼­¹ö »ç¿ëÀÚµéÀÌ ½Ã±ÞÈ÷ Àû¿ëÇØ¾ß ÇÔ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)