ClickCease Microsoft Exchange 제로데이 결함으로 인해 22,000대의 서버가 노출되었습니다.

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Microsoft Exchange 제로데이 결함으로 인해 22,000대의 서버가 노출되었습니다.

2022년 10월 11일 TuxCare 홍보팀

Microsoft는 공격자들이 Exchange 애플리케이션의 두 가지 중요한 취약점을 악용하고 있다고 발표했습니다. 또한 전 세계 22,000대 이상의 서버가 영향을 받고 있다고 설명했습니다.

"현재 Microsoft는 이 두 가지 취약점을 사용하여 사용자 시스템에 침입하는 제한된 표적 공격을 인지하고 있습니다. 이러한 공격에서 CVE-2022-41040은 인증된 공격자가 원격으로 CVE-2022-41082를 트리거할 수 있게 합니다."라고 Microsoft 보안 대응 센터 팀원들은 썼습니다.

새로운 취약점에는 서버 측 요청 위조 취약점인 CVE-2022-41040과 공격자가 PowerShell에 액세스할 수 있는 경우 원격 코드 실행을 허용하는 CVE-2022-41082가 포함되어 있습니다.

이 취약점은 Microsoft Exchange 서비스가 아닌 온-프레미스 Exchange 서버에 영향을 미칩니다. 그러나 많은 회사에서 온-프레미스 및 클라우드 하드웨어를 혼합하여 사용하는 Microsoft의 클라우드 제품을 사용합니다.

o GSTC에 따르면 공격자는 제로데이를 악용하여 명령을 실행할 수 있는 텍스트 인터페이스인 웹셸로 서버를 감염시킵니다. 이 웹셸에는 중국어 간체자가 포함되어 있어 해커가 중국어에 능통하다는 것을 알 수 있습니다.

또한 발급된 명령에는 중화인민공화국의 지원을 받는 지능형 지속적 위협 그룹을 포함하여 중국어를 사용하는 위협 행위자들이 일반적으로 사용하는 웹셸인 차이나 초퍼의 서명이 포함되어 있습니다.

설치된 멀웨어는 Microsoft의 Exchange 웹 서비스를 에뮬레이션하고 바이너리로 암호화된 IP 주소 137[.]184[.]67[.]33에 연결합니다.

그런 다음 멀웨어는 런타임에 생성되는 RC4 암호화 키로 암호화된 데이터를 송수신합니다.

온-프레미스 Exchange 서버를 실행하는 모든 사용자는 서버가 알려진 공격 패턴을 허용하지 못하도록 하는 잠금 규칙을 적용하여 즉각적인 조치를 취하는 것이 좋습니다. 이 규칙은 'IIS 관리자 > 기본 웹 사이트 > URL 다시 쓰기 > 작업'으로 이동하여 적용할 수 있습니다."

또한 Microsoft는 공격자가 CVE-2022-41082를 사용하기 위해 악용해야 하는 HTTP 포트 5986을 차단할 것을 사용자에게 권장합니다. 기업에서는 공격자가 서버를 악용하지 못하도록 다른 보안 조치를 채택하는 것이 중요합니다.

이 글의 출처는 ArsTechnica의 기사입니다.

요약
Microsoft Exchange 제로데이 결함으로 인해 22,000대의 서버가 노출되었습니다.
기사 이름
Microsoft Exchange 제로데이 결함으로 인해 22,000대의 서버가 노출되었습니다.
설명
Microsoft는 공격자가 Exchange 애플리케이션의 두 가지 중요한 취약점을 악용하고 있다고 발표했습니다.
작성자
게시자 이름
턱시도 케어
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기