지난 3월 2일, 마이크로소프트가 4개 제로데이 취약점(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)을 해결하는 긴급 보안 업데이트를 발표했다. 이들 취약점은 악성 해커들이 활발히 악용했고, 모든 MS 익스체인지 버전에 적용 가능했다.
시큐리티어페어스에 따르면, 최근 베트남 보안 연구원 Nguyen Jang은 깃허브에 익스체인지 서버를 해킹하는 개념 증명 도구를 게시했다. 해당 툴은 ProxyLogon 취약점 중 두가지를 연결한다. 개념 증명 코드의 가용성은 ‘The Record’에 처음 보고되었다.
관련 The Record 게시물은 “베트남 보안 연구원이 ProxyLogon으로 알려진 MS 익스체인지 서버에 존재하는 취약점 그룹에 대한 최초의 기능적 개념 증명 익스플로잇을 공개했고, 지난주 많은 익스플로잇이 수행되었다. PoC 코드와 베트남어로 쓰여진 기술 상세 내용은 미디움이라는 블로그 플랫폼에서 확인할 수 있다.”고 설명한다.
해당 익스플로잇에 대한 내용은 여러 사이버 보안 연구원들의 관심을 받았으며, 공개 몇시간 후 깃허브는 익스체인지 솔루션을 사용하는 마이크로소프트 고객들에게 위협이 된다고 판단하여 게시한 PoC 해킹 도구를 삭제했다.
이들은 “우리는 개념 증명 익스플로잇 코드의 게시 및 배포가 교육 및 연구 가치가 있음을 이해하며, 우리의 목표는 광범위한 생태계의 안전과 균형을 이루는 것이다. 우리의 허가된 사용 정책에 따라 최근 공개된 취약점에 대한 PoC 코드가 포함되어 있다는 보고에 따라 주요 부분을 비활성화했다.”고 언급했다.
Jang은 최근 해킹 흐름에 대해 경고하고, 동료들에게 공격 코드 사용을 통한 연구 기회를 주기 위해 개념 증명 코드를 게시했다고 설명했다.
Praetorian 연구원들은 마이크로소프트 익스체인지 결함 익스플로잇에 대한 상세 기술 분석 내용을 공개했으며, CVE-2021-26855 패치에 대한 리버스 엔지니어링을 수행하고 완벽하게 작동하는 종단간 익스플로잇을 개발했다. 이 경우에도 전문가들은 연구자들이 공유한 기술적 분석이 작동하는 익스플로잇 개발 속도를 더 높일 수 있다고 설명했다.
◈데일리시큐 무료 보안 웨비나 초청 (3월)
① MDR 서비스 웨비나 무료등록: 클릭
-2021년 3월 18일 오후 2시~3시 개최
② EDR 솔루션 웨비나 무료등록: 클릭
-2021년 3월 29일 오후 2시~3시 개최
★정보보안 대표 미디어 데일리시큐!★
