보안이슈

보안이슈

게시물 상세
[EhostICT] MS Exchange Server 취약점 보안 점검 권고
작성자 : 관리자(jieun@ehostidc.co.kr)  작성일 : 2021-03-11   조회수 : 8263

□ 개요 

o MS社는 Exchange Server에서 발생하는 취약점 관련하여 영향 받는 버전을 사용하는 이용자들 중 피해가 의심되거나 확인을 원하는 경우, 아래의 방안에 따라 보안 점검 권고


□ 설명

o MS Exchange Server에서 발견된 취약점(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)과 취약점을 악용한 악성 스크립트 여부 탐지 및 조치 방안 안내


 

□ 영향 받는 버전

o Microsoft Exchange Server 2013

o Microsoft Exchange Server 2016

o Microsoft Exchange Server 2019

 

□ 취약점 및 감염 확인 방법

 

o CVE-2021-26855 취약점에 대한 확인

- Exchange Server의 HttpProxy 로그 확인

경로 : %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

확인사항 : 로그에서 AuthenticatedUser 부분이 공란이고 AnchorMailBox가 ServerInfo~*/* 패턴확인

 

- 로그 점검 명령(파워쉘(Powershell)) 예시

Import-Csv –Path (Get –ChildItem –Recurse –Path

“$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy" -Filter

‘*.log’).FullName | Where-Object { $_.AuthenticatedUser –eq ‘ ’ -and

$_.Anch

 

- AnchorMailBox 경로의 어플리케이션 로그 확인(취약점과 관련한 악성 행위 탐지 로그)

경로 : %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\

 

o CVE-2021-26858 취약점에 대한 확인

- OABGenerateLog 확인

경로 : C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

 

- 로그 확인 명령어 예시

findstr /snip /c:“Download failed and temporary file”

“%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

 

- 파일이 다운로드는 아래 경로에만 이루어지는 것이 정상이며, 감염된 경우에는 다른 경로에 다운로드 됨

경로 : %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp

 

o CVE-2021-26857 취약점에 대한 확인

- 윈도우즈 어플리케이션 이벤트 로그 확인

Source : MSExchange Unified Messaging

EntryType : Error

Event Message Contains : System.InvalidCastException

 

- 로그 확인 명령어 예시

Get –EventLog –LogName Application –Source “MSExchange Unified Messaging” -

EntryType Err

 

o CVE-2021-27065 취약점에 대한 확인

- Exchange 로그 파일 확인

※ 모든 Set-VirtualDirectory 속성이 스크립트를 포함하여서는 안되며 InternalUrl, ExternalUrl은 모두 유효한 Uris 값이어야 함

경로 : C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server

 

- 로그 확인 명령어 예시

Select-String –Path “env : PROGRAMFILES\Microsoft\Exchange Server\

V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

 

□ MS社 제공 도구를 이용한 빠른 점검 방법

 

o 아래 사이트를 방문하여 스크립트 실행

- 위의 로그 확인 명령 네 가지를 자동으로 실행 가능하며 자세한 사용 방법은 사이트 참조

사이트 URL : https://github.com/microsoft/CSS-Exchange/tree/main/Security

스크립트

- Test-ProxyLogon.ps1 : 로그 확인 명령 자동 실행

- BackendCookieMitigation.ps1 : CVE-2021-26855 취약점에서 사용되는 https 요청을 필터링

- http-vuln-cve2021-26855.nse : nmap과 함께 사용, 지정된 URL이 CVE-2021-26855에 취약여부 확인 가능

※ 명령어 예시 : Nmap –Pn –p T:443 —script http-vulnp-cve2021-26855 IP

 

o Microsoft Support Emergency Response Tool(MSERT)를 이용하여 점검하는 방법

- 아래 링크에서 Microsoft Safety Scanner 다운로드 및 실행하여 스캔

※ https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

 

□ 기타 문의 사항

o 한국인터넷진흥원 사이버민원센터: 국번 없이 118

 

 

[참고사이트]

- https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

- https://github.com/microsoft/CSS-Exchange/tree/main/Security

- https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

 



□ 작성 : 침해사고분석단 취약점분석팀

 

 

 

이전글 [EhostICT] MS Exchange Server 취약점 임시 조치 방안 권고
다음글 [EhostICT] MS Exchange 서버 취약점 보안 업데이트 권고