보안이슈
[EhostICT] MS Exchange Server 취약점 보안 점검 권고 | |
---|---|
작성자 : 관리자(jieun@ehostidc.co.kr) 작성일 : 2021-03-11 조회수 : 8263 | |
□ 개요 o MS社는 Exchange Server에서 발생하는 취약점 관련하여 영향 받는 버전을 사용하는 이용자들 중 피해가 의심되거나 확인을 원하는 경우, 아래의 방안에 따라 보안 점검 권고 □ 설명 o MS Exchange Server에서 발견된 취약점(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)과 취약점을 악용한 악성 스크립트 여부 탐지 및 조치 방안 안내
□ 영향 받는 버전 o Microsoft Exchange Server 2013 o Microsoft Exchange Server 2016 o Microsoft Exchange Server 2019
□ 취약점 및 감염 확인 방법
o CVE-2021-26855 취약점에 대한 확인 - Exchange Server의 HttpProxy 로그 확인 경로 : %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy 확인사항 : 로그에서 AuthenticatedUser 부분이 공란이고 AnchorMailBox가 ServerInfo~*/* 패턴확인
- 로그 점검 명령(파워쉘(Powershell)) 예시 Import-Csv –Path (Get –ChildItem –Recurse –Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy" -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser –eq ‘ ’ -and $_.Anch
- AnchorMailBox 경로의 어플리케이션 로그 확인(취약점과 관련한 악성 행위 탐지 로그) 경로 : %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\
o CVE-2021-26858 취약점에 대한 확인 - OABGenerateLog 확인 경로 : C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
- 로그 확인 명령어 예시 findstr /snip /c:“Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
- 파일이 다운로드는 아래 경로에만 이루어지는 것이 정상이며, 감염된 경우에는 다른 경로에 다운로드 됨 경로 : %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp
o CVE-2021-26857 취약점에 대한 확인 - 윈도우즈 어플리케이션 이벤트 로그 확인 Source : MSExchange Unified Messaging EntryType : Error Event Message Contains : System.InvalidCastException
- 로그 확인 명령어 예시 Get –EventLog –LogName Application –Source “MSExchange Unified Messaging” - EntryType Err
o CVE-2021-27065 취약점에 대한 확인 - Exchange 로그 파일 확인 ※ 모든 Set-VirtualDirectory 속성이 스크립트를 포함하여서는 안되며 InternalUrl, ExternalUrl은 모두 유효한 Uris 값이어야 함 경로 : C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
- 로그 확인 명령어 예시 Select-String –Path “env : PROGRAMFILES\Microsoft\Exchange Server\ V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’
□ MS社 제공 도구를 이용한 빠른 점검 방법
o 아래 사이트를 방문하여 스크립트 실행 - 위의 로그 확인 명령 네 가지를 자동으로 실행 가능하며 자세한 사용 방법은 사이트 참조 사이트 URL : https://github.com/microsoft/CSS-Exchange/tree/main/Security 스크립트 - Test-ProxyLogon.ps1 : 로그 확인 명령 자동 실행 - BackendCookieMitigation.ps1 : CVE-2021-26855 취약점에서 사용되는 https 요청을 필터링 - http-vuln-cve2021-26855.nse : nmap과 함께 사용, 지정된 URL이 CVE-2021-26855에 취약여부 확인 가능 ※ 명령어 예시 : Nmap –Pn –p T:443 —script http-vulnp-cve2021-26855 IP
o Microsoft Support Emergency Response Tool(MSERT)를 이용하여 점검하는 방법 - 아래 링크에서 Microsoft Safety Scanner 다운로드 및 실행하여 스캔 ※ https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
□ 기타 문의 사항 o 한국인터넷진흥원 사이버민원센터: 국번 없이 118
[참고사이트] - https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ - https://github.com/microsoft/CSS-Exchange/tree/main/Security - https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
□ 작성 : 침해사고분석단 취약점분석팀
|
|
이전글 | [EhostICT] MS Exchange Server 취약점 임시 조치 방안 권고 |
다음글 | [EhostICT] MS Exchange 서버 취약점 보안 업데이트 권고 |