• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS 익스체인지를 통해 시스템 네트워크 장악 가능하다 2019.01.30

네덜란드의 한 보안 전문가, 익스체인지 통해 권한 상승시키는 법 공개
익스체인지 2010 버전은 오히려 취약하지 않아...몇 가지 옵션 조종하면 안전

[보안뉴스 문가용 기자] 마이크로소프트 익스체인지(Microsoft Exchange) 2013 및 그 이후 버전들에서 권한 상승 공격을 가능케 해주는 취약점이 발견됐다. 누구든 익스체인지 메일박스를 통해 도메인 관리자 권한을 얻어낼 수 있게 해주는 것으로 액티브 디렉토리와 익스체인지를 사용하는 조직에서는 공격 성공률이 90%에 이른다고 한다.

[이미지 = iclickart]


이 공격이 성립 가능한 건 익스체인지라는 프로그램이 디폴트 상 과도하게 권한을 허용하기 때문이다. 그러므로 패치로 수정하는 게 가능하다고 네덜란드의 보안 기업 폭스IT(Fox-IT)의 더그 얀 몰레마(Dirk-jan Mollema)는 설명한다. 몰레마는 이 취약점에 프리브익스체인지(PrivExchange)라는 이름을 붙이고 개념증명용 코드도 발표했다.

몰레마는 “조직들은 익스체인지가 도메인 객체에 설정한 권한을 삭제함으로써 공격을 막을 수 있다”고 블로그를 통해 설명했다. 그 외 특정 기능을 비활성화하고, 강력한 인증 장치를 삽입하는 것도 방어를 단단히 해준다고 덧붙였다. 카네기멜론 대학의 보안 전문가 윌 도먼(Will Dormann)은 “몰레마가 발견한 건 굉장히 실질적인 위협”이라고 말하기도 했다. “공격자 입장에서는 익스체인지 메일함에 접근이 가능한 시스템 한 대만 있으면 조직 전체를 공격할 수 있게 되는 겁니다.”

도먼에 따르면 “윈도우 기반 네트워크에 발을 들여놓는 데 성공한 공격자는 이미 공개된 익스플로잇을 사용해 도메인 관리자 권한을 얻어낼 수 있고, 여기까지 성공하면 사실상 조직 전체를 장악하는 것”이라고 설명했다. “도메인 관리자 권한은 궁극의 열쇠라고 볼 수 있습니다. 왕좌로 가는 열쇠말이죠.”

몰레마와 도먼은 “이 취약점은 마이크로소프트 익스체인지 2013 및 그 이후 버전들의 NTLM 인증 트래픽에 대한 서명 및 인증 플래그 설정 실패로 인한 것”이라고 말한다. “공격에 성공하려면 익스체인지 웹 서비스 API(Exchang Web Services API)에 있는 PushSubscriptionRequest 함수를 남용해 익스체인지 서버가 임의 공격자 웹사이트로 연결될 수 있도록 만드렁야 합니다. 이 함수를 통해 만들어진 연결은 NTML 인증을 사용해 임의의 웹 서버와 협상을 시작합니다.”

하지만 HTTP를 통한 인증 시도는 서명이 되지 않으므로, NTLM 릴레이 공격이 가능하게 된다. “NTLM 릴레이 공격을 하면 공격자가 클라이언트와 서버 사이의 인증 세션에 자리를 잡고, 하이재킹을 할 수 있게 됩니다. 그러므로 크리덴셜을 가로챌 수 있게 되죠. 이를 활용하면 또 다른 서비스에 접속하는 것도 가능하게 됩니다.”

몰레마가 발표한 익스플로잇은 “결국 익스체인지 서버가 공격자 시스템을 인증하도록 만드는 것”이라고 도먼은 정리한다. “그런 상태에서 그 인증을 릴레이 해서 도메인 제어 장치로까지 잇는 것입니다.”

이 취약점은 익스체인지 2010 버전에는 존재하지 않는다. NTLM 서명을 사용하기 때문이다. 공격자가 인증을 릴레이 한다는 게 가능하지가 않다. “새 버전이 퇴화된 모습을 보이고 있다는 게 조금 이채롭습니다.”

또한 이번에 공개된 익스플로잇은 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(Zero Day Initiative, ZDI)를 통해 지난 12월 공개된 “NTLM을 사용해 공격자 시스템 인증하기” 문제점을 응용한 것이기도 하다. ZDI의 책임자인 브라이언 고렝크(Brian Gorenc)는 “12월에 발표된 내용은, 익스체인지 버그와 NTLM 릴레이 공격을 결합하는 것에 대한 이론”이었다고 설명한다.

마이크로소프트는 이러한 권한 상승 취약점에 대한 대처 및 완화 방법을 상세하게 공개했다. 고렝크는 “매우 실질적이고 치명적일 수 있는 위험이므로 조직들은 마이크로소프트의 권고문을 따르는 게 좋을 것”이라고 권고한다. “도메인 객체에 대한 익스체인지의 권한을 삭제하고, PushSubscriptionRequest 기능도 비활성화시키는 게 도움이 됩니다.”

몰레마 역시 몇 가지 완화 방법에 대해 언급했다. “LDAP 서명을 활성화시키고, 익스체인지 서버가 임의 포트를 통해 워크스테이션과 연결되지 않도록 설정하면 어느 정도 공격을 막을 수 있을 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>