2023.07 - ProxyNotShell
1. 개요
ProxyNotShell은 MS Exchange Server에서 발생한 원격 코드 실행 (RCE: Remote Code Execution) 취약점으로, 여러 CVE로 구성되어 있어 해당 CVE에 대해 각각 분석한 결과를 정리하였습니다.
2. 공격 과정
ProxyNotShell 취약점에 해당되는 총 3개의 CVE들이 어떤 방식으로 연계되어 사용되는지에 대한 분석입니다.
1) CVE-2022-41040
MS Exchange Server에서 인증 없이 해당 서버의 백엔드에 접근하는 취약점 (CVE-2021-34473) 패치를 우회하는 취약점으로, Basic이나 NTLM 등의 임의 인증을 시도한 경우 낮은 권한의 인증 데이터로도 해당 서버의 임의 백엔드 서비스에 접근이 가능합니다. 공격자는 이를 악용하여 해당 서버의 백엔드 서비스를 이용하거나 다른 취약점과 연계해 악성코드나 프로그램을 실행시킬 수 있습니다.
2) CVE-2022-41082
인증된 사용자가 MS Exchange Server의 백엔드에 접근한 상황에서 백엔드 서비스 중 powershell과 WSMAN 프로토콜을 활용해 공격자는 해당 서버에 System 권한을 가진 PowerShell을 실행, 원격에서 직렬화된 데이터를 전송하여 악성코드를 실행할 수 있습니다. 다만 해당 서버의 서비스를 이용하기 위해 인증 절차가 필요하여 CVE-2022-41040 취약점과 연계하여 사용됩니다.
3) CVE-2022-41080
CVE-2022-41040 취약점에 대한 패치를 우회하는 취약점으로, OWASSRF라는 명칭으로도 불립니다.
OWA(Outlook Web App) 서비스에서 X-OWA-ExplicitLogonUser 헤더 값을 확인하여 URL에 동일한 값이 있는 경우 치환한다는 점을 악용해 URL /owa/+X-OWA-ExplicitLogonUser 헤더 값+/[백엔드 서비스 API] 형태로 요청하면 해당 서버의 임의 백엔드 서비스에 접근이 가능합니다.
[ ProxyNotShell & OWASSRF 취약점의 공격 다이어그램 ]
3. 대응
1) CVE-2022-41040
MS Exchange Server 2013 및 2016 Cumulative Update 24 이상, 2019는 Cumulative Update 13 이상으로 업데이트하여 대응합니다. 업데이트가 어려운 경우에는 알려진 공격 URL 등을 정규식으로 차단하여 해당 공격을 방지하도록 권고하고 있습니다.
저희 AIWAF 제품에서는 "MS Exchange Server RCE 5" 및 "MS Exchange Server RCE 6" 패턴으로 해당 취약점을 활용한 공격 구문을 탐지합니다.
2) CVE-2022-41082
MS Exchange Server 2013 및 2016 Cumulative Update 24 이상, 2019는 Cumulative Update 13 이상으로 업데이트하여 대응합니다. 업데이트가 어려운 경우에는 원격에서 PowerShell에 엑세스하는 행위를 비활성화하도록 권고하고 있습니다.
저희 AIWAF 제품에서는 "MS Exchange Server RCE 5" 및 "MS Exchange Server RCE 6" 패턴으로 해당 취약점을 활용한 공격 구문을 탐지합니다.
3) CVE-2022-41080
MS Exchange Server 2013 및 2016 Cumulative Update 24 이상, 2019는 Cumulative Update 13 이상으로 업데이트하여 대응합니다. 업데이트가 어려운 경우에는 원격에서 PowerShell에 엑세스하는 행위를 비활성화하도록 권고하고 있습니다.
저희 TA팀에서는 해당 취약점에 대해 인지하고 분석을 진행하였으며, 현재 패턴 생성 및 테스트 단계에 있습니다.
4. 결론
MS Exchange Server에서 발생한 ProxyNotShell 취약점의 경우 여러 취약점들의 연계된 취약점이며, Play, Cuba 등의 랜섬웨어 그룹에서 취약점을 악용한 사례가 발견되어 더욱 유명해진 취약점으로, 내부 정보 유출이나 랜섬웨어 공격 등 위협적인 공격으로 연계되어 해당 서비스에 대한 업데이트가 필요합니다.
저희 AIWAF 제품에서는 ProxyNotShell 취약점에 대해서 패턴을 다수 개발하여 대응하고 있으며, 앞으로도 추가적인 우회 방안이나 신규 취약점에 대해서도 신속하게 대응할 예정입니다.
5. 참조
https://nvd.nist.gov/vuln/detail/CVE-2022-41040