취약한 Microsoft Exchange 서버를 침해하려는 해커

NSA (National Security Agency)는 최근 인터넷에 연결된 Microsoft Exchange 서버에서 악의적 인 공격자가 CVE-2020-0688 취약성을 악용하려는 시도를 멈추지 않았습니다.

이 특별한 위협은 마이크로 소프트가 권장 한대로 취약한 서버를 가진 모든 조직이 패치를했다면 지금까지는 쓸모가 없을 것입니다.

NSA의 트윗에 따르면 해커는 패치되지 않은 서버에서 원격으로 코드를 실행하기 위해 유효한 이메일 자격 증명 만 필요합니다.

원격 코드 실행 # 취약성 (CVE-2020-0688)은 Microsoft Exchange Server에 있습니다. 패치가 없으면 이메일 자격 증명을 가진 공격자가 서버에서 명령을 실행할 수 있습니다.

완화 지침은 다음에서 제공됩니다. https://t.co/MMlBo8BsB0

— NSA / CSS (@NSAGov) 2020 년 3 월 7 일

APT 행위자가 패치되지 않은 서버를 적극적으로 침해하고 있습니다.

뉴스 2020 년 2 월 25 일에 공개 된 패치되지 않은 MS Exchange 서버에 대한 대규모 스캔의 당시에는 성공적인 서버 침해에 대한 단일 보고서가 없었습니다.

그러나 사이버 보안 조직인 Zero Day Initiative는 이미 개념 증명 비디오, 원격 CVE-2020-0688 공격을 실행하는 방법을 보여줍니다.

이제 인터넷에 노출 된 서버에 대한 검색이 알지 못하는 여러 조직의 고통에 결실을 맺은 것처럼 보입니다. 사이버 보안 회사의 트윗을 포함한 여러 보고서에 따르면 Microsoft Exchange 서버가 적극적으로 악용되고 있습니다.

ECP 취약점 CVE-2020-0688을 통해 APT 행위자가 Microsoft Exchange 서버를 적극적으로 악용합니다. 여기에서 공격 및 조직 보호 방법에 대해 자세히 알아보십시오. https://t.co/fwoKvHOLaV#dfir# 스레 틴텔#infosecpic.twitter.com/2pqe07rrkg

— Volexity (@Volexity) 2020 년 3 월 6 일

더욱 놀라운 것은 전체 계획에 APT (Advanced Persistent Threat) 행위자의 참여입니다.

일반적으로 APT 그룹은 주 또는 주 후원 단체입니다. 그들은 가장 엄격하게 보호되는 기업 IT 네트워크 또는 리소스 중 일부를 은밀하게 공격 할 수있는 기술과 재정적 능력을 보유한 것으로 알려져 있습니다.

Microsoft는 거의 한 달 전에 CVE-2020-0688 취약성의 심각도를 중요하다고 평가했습니다. 그러나 RCE 허점은 NSA가 기술계에 그것에 대해 상기시키고있는 것처럼 오늘날에도 여전히 진지하게 고려할 가치가 있어야합니다.

영향을받는 MS Exchange 서버

패치되지 않은 인터넷 연결 MS Exchange 서버를 계속 실행중인 경우 잠재적 인 재난을 예방하려면 최대한 빨리 패치하십시오. 있습니다 보안 업데이트 영향을받는 서버 버전 2010, 2013, 2016 및 2019의 경우.

업데이트를 발표 할 때 Microsoft는 문제의 취약점이 설치 중에 유효성 검사 키를 올바르게 생성하는 서버 기능을 손상 시켰다고 말했습니다. 공격자는이 허점을 악용하여 노출 된 시스템에서 원격으로 악성 코드를 실행할 수 있습니다.

유효성 검사 키를 알고 있으면 사서함이있는 인증 된 사용자가 SYSTEM으로 실행되는 웹 응용 프로그램에서 역 직렬화 할 임의의 개체를 전달할 수 있습니다.

대부분의 사이버 보안 연구자들은 이러한 방식으로 IT 시스템을 침해하면 서비스 거부 (DDoS) 공격의 길을 열 수 있다고 믿습니다. 그러나 Microsoft는 그러한 위반에 대한보고를받은 것을 인정하지 않았습니다.

현재로서는 패치를 설치하는 것이 CVE-2020-0688 서버 취약점에 대한 유일한 해결책 인 것으로 보입니다.