(보안동향) 적극적으로 악용되는 ProxyNotShell Exchange 버그에 대한 익스플로잇 공개

https://www.bleepingcomputer.com/news/security/exploit-released-for-actively-abused-proxynotshell-exchange-bug/

 

Exploit released for actively abused ProxyNotShell Exchange bug

 

[본문 번역]

ProxyNotShell로 통칭되는 Microsoft Exchange의 두 가지 적극적으로 악용되고 심각도가 높은 취약점에 대한 개념 증명 익스플로잇 코드가 온라인에 공개되었습니다.

​

CVE-2022-41082 및 CVE-2022-41040 으로 추적된 두 버그는 Microsoft Exchange Server 2013, 2016 및 2019에 영향을 미치며 공격자가 권한을 상승시켜 시스템 컨텍스트에서 PowerShell을 실행하고 시스템에서 임의 또는 원격 코드 실행을 얻을 수 있도록 합니다. 

​

Microsoft 는 적어도 2022년 9월 이후 ProxyNotShell 공격이 감지 되었음에도 불구하고 2022년 11월 패치 화요일 의 일부로 두 가지 보안 결함을 해결하기 위한 보안 업데이트를 발표했습니다 .

​

Microsoft가 ProxyNotShell 보안 업데이트를 발표한 지 일주일 후, 보안 연구원 인 Janggggg 는 공격자가 백도어 Exchange 서버에 사용했던 개념 증명(PoC) 익스플로잇을 발표했습니다.

​

ANALYGENCE의 수석 취약성 분석가인 Will Dormann은 익스플로잇을 테스트하고 Exchange Server 2016 및 2019를 실행하는 시스템에서 작동 하고 있음을 확인 했으며 Exchange Server 2013을 대상으로 할 때 작동하려면 코드를 약간 조정해야 한다고 덧붙였 습니다.

​

위협 인텔리전스 회사인 GreyNoise는 9월 말부터 ProxyNotShell 악용을 추적해 왔으며 ProxyNotShell 검사 활동 에 대한 정보와 이러한 공격에 연결된 IP 주소 목록을 제공합니다.

ProxyNotShell 취약점 스캔(GreyNoise)

​

공격자들은 적어도 2022년 9월부터 피해자 네트워크의 측면 이동뿐만 아니라 지속성 및 데이터 도난을 위해 손상된 서버에 Chinese Chopper 웹 셸을 배포하기 위해 두 가지 보안 결함을 연결해 왔습니다 .

 

Redmond는 또한 9월 30일 "사용자 시스템에 침투하기 위해 두 가지 취약점을 사용하는 제한된 표적 공격을 알고 있다"고 말하면서 그들이 야생에서 적극적으로 악용되고 있음을 확인했습니다 .

​

Exchange 팀은 패치가 출시된 후 " 관련 취약점(제한된 표적 공격)의 활성 익스플로잇을 알고 있기 때문에 이러한 공격으로부터 보호하기 위해 이러한 업데이트를 즉시 설치하는 것이 좋습니다 ."라고 경고 했습니다. 

​

"이러한 취약점은 Exchange Server에 영향을 미칩니다. Exchange Online 고객은 이러한 SU에서 해결된 취약점으로부터 이미 보호받고 있으며 환경에서 Exchange 서버를 업데이트하는 것 외에 다른 조치를 취할 필요가 없습니다."

​

이 공격을 처음 발견하고 보고한 베트남 사이버 보안 업체 GTSC의 보안 연구원 은 공격자들이 손상된 서버에 중국 Chopper 웹 셸을 배포하기 위해 두 가지 보안 결함을 연결하고 있다고 말했습니다.

​

관련 기사:

ProxyNotShell Exchange 제로데이에 대한 Microsoft 업데이트 완화

GitHub에서 판매되는 가짜 Microsoft Exchange ProxyNotShell 익스플로잇

Microsoft Exchange 서버 제로 데이 완화를 우회할 수 있음

중요한 VMware RCE 취약점에 대한 익스플로잇 공개, 지금 패치

공격에 적극적으로 악용되는 새로운 Microsoft Exchange 제로데이