• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

익스체인지 서버 노리는 해커들의 스캔 행위, 급증하고 있다 2020.02.28

2월 정기 패치 통해 언급된 취약점 CVE-2020-0688...익스체인지 서버 취약점
ZDI가 익스플로잇 방법 공개한 이후 갑자기 이 취약점 찾는 스캔 행위 증가해

[보안뉴스 문가용 기자] 해커들이 인터넷을 스캔하기 시작했다. 마이크로소프트의 익스체인지 서버 인스턴스를 찾기 위해서다. 보다 정확히 말하자면 이번 달 정기 패치를 통해 패치된 원격 코드 실행 취약점이 여전히 존재하는 서버를 찾고자 인터넷을 뒤지고 있는 상황이다.

[이미지 = iclickart]


문제의 취약점은 CVE-2020-0688로, 서버가 설치 당시 고유 암호화 키를 제대로 생성하지 못해서 생기는 문제다. 취약점의 정확한 위치는 익스체인지 제어판(ECP)으로, web.config 내 validationKey와 decryptionKeyvalues가 모두 같다. 원래는 무작위로 생성된 키들로 구성이 되어 있어야 한다.

이 지점을 공격자가 파고들면 서버가 악성 뷰스테이트(ViewState) 데이터를 비직렬화 하도록 만들 수 있게 된다. 그 다음 YSoSerial.net을 사용해 임의의 닷넷(.NET) 코드를 서버에서 실행시키는 것도 가능하다. 이 때 공격자의 권한은 시스템(SYSTEM)이 된다.

그렇기 때문에 마이크로소프트는 2020년 2월 정기 패치를 통해 이 취약점에 대한 패치를 배포하기 시작했다. 하지만 아직 패치가 모두 적용된 건 아니고, 공격자들은 이 취약점이 그대로 남아 있는 서버들을 찾아 나서기 시작했다.

공격자들의 이러한 행위가 최근 급증한 것은 제로데이 이니셔티브(ZDI)가 CVE-2020-0688 취약점의 기술 정보와 익스플로잇 방법을 상세하게 공개했기 때문인 것으로 보인다. ZDI는 익스플로잇 방법을 영상으로도 만들어 발표했었다. 해커들의 스캐닝 활동은 발표 후 얼마 지나지 않아 본격적으로 늘어났다.

이번 주, 보안 전문가 케빈 뷰몬트(Kevin Beaumont)는 자신의 트위터를 통해 “이 취약점은 치명적 위험도를 가지고 있다고 봐야 한다”고 주장했다. “특히 패치가 나온 지 얼마 되지 않아 취약한 서버가 많이 남아있고, 해커들이 대규모로 취약한 서버를 찾아 헤매고 있는 상황이라는 걸 감안해야 합니다.”

보안 업체 배드패키츠(Bad Packets)의 수석 분석가인 트로이 머슈(Troy Mursch) 역시 “CVE-2020-0688을 찾는 스캐닝 행위가 크게 늘어났다”는 걸 확인했고, “꽤나 많은 기업들이 위험한 상황에 노출되어 있다”는 데에 동의했다. 또한 뷰몬트는 “공격을 실행하는 게 생각보다 쉬운 일”이라는 것도 강조했다.

“공격자들이 이렇게 CVE-2020-0688을 찾기 위해 스캔을 하는 건 왜일까요? 익스플로잇에 성공하면 크리덴셜이 쏟아지기 때문입니다. 공격을 하면 ‘시스템’ 권한이 생기고, 그 상태에서 미미캐츠(Mimkatz)를 돌리기만 하면 크리덴셜을 마음껏 얻어낼 수 있습니다. 익스체인지는 사용자 크리덴셜을 메모리에 평문으로 저장하거든요. 공격자들로서는 ‘금광을 찾았다’는 소문이 난 것과 다름이 없는 상황입니다.” 뷰몬트의 설명이다.

ZDI 측은 이 공격을 성공시키려면 최초 인증 과정은 통과해야만 하지만, 그게 그렇게 어려운 일이 아니라고 말한다. “회사에 소속된 사람이라면 누구나 그 회사 익스체인지 서버에 접속할 수 있습니다. 공격자라면 수많은 사람들 가운데 딱 한 사람의 계정으로만 로그인 할 수 있으면 됩니다. 그러면 냉큼 서버로 들어가 취약점을 익스플로잇 할 수 있게 됩니다. 그리고 수많은 크리덴셜을 가져갈 수 있게 되죠.”

마이크로소프트는 이 취약점에 대한 평가로서, ‘익스플로잇 지수(Exploit Index)’ 기준 1점이라고 발표했다. 이는 실제 익스플로잇이 취약점 패치 배포 일자로부터 30일 이내에 나타날 가능성이 높다는 뜻이다. ZDI는 “충분히 그럴만하다”고 동의했다.

이번 달 마이크로소프트가 발표한 패치는 익스체인지 서버 2010, 2013, 2016, 2019에 적용 가능하다. 익스체인지 서버 2007의 경우, 2017년 4월부터 지원이 종료되었기에 패치 대상이 되지 않았다. 익스체인지 서버를 사용하는 기업이라면 이번 달 정기 패치를 최대한 빨리 적용할 것이 권고되고 있다.

3줄 요약
1. 익스체인지 서버에서 암호화 키 관련 취약점 발견되고, MS는 이를 패치함.
2. 하지만 익스플로잇 방법이 상세히 공개되면서 공격자들의 인터넷 스캔 해우이 늘어남.
3. 공격 성공 시 각종 크리덴셜 가져갈 수 있음. 조직들은 시급히 패치 적용해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>