ProxyNotShell: CVE-2022-41040 및 CVE-2022-41082 탐지, 활발히 악용되는 새로운 Microsoft Exchange 제로데이 취약점

경계를 늦추지 마세요! 사이버 보안 연구자들이 최근에 마이크로소프트 익스체인지의 새로운 제로데이 취약점, 이른바 ProxyNotShell 라고 하는 CVE-2022-41040 및 CVE-2022-41082로 추적되는 취약점을 공개했습니다. 이 새로 발견된 Microsoft Exchange Server의 버그는 익스플로잇 체인에서 결합되어 대상 서버에 중국의 Chopper 웹 쉘을 확산시킬 수 있습니다. 연구자들에 따르면, 이러한 제로데이 공격은 중국 해커들에게 속한다고 합니다.

ProxyNotShell 취약점 악용 시도를 탐지하기: Microsoft Exchange Server의 중요 제로데이

실제 공격에서 제로데이 취약점을 악용하는 적대적 캠페인은 사이버 방어자에게 즉각적인 대응력을 요구합니다. 이러한 규모의 공격에 대비해 조직이 예방적으로 방어할 수 있도록, SOC Prime의 Detection as Code 플랫폼은 ProxyNotShell 취약점으로 알려진 Microsoft Exchange 제로데이 익스플로잇 감지를 위한 큐레이션된 Sigma 규칙 세트를 최근에 출시했습니다. 모든 감지 알고리즘은 악명 높은 ProxyShell 결함. 

Sigma 규칙 는 조직별 환경 요구에 맞춰 최고의 SIEM, EDR, XDR 솔루션에서 사용할 수 있습니다.

클릭하세요 탐색 감지 버튼을 누르면 MITRE ATT&CK 참조, CTI 링크 및 기타 관련 사이버 위협 컨텍스트가 풍부한 Sigma 규칙 목록에 즉시 접근할 수 있습니다.

탐색 감지

새로운 Microsoft Exchange 제로데이, 이른바 ProxyNotShell: 공격 분석 및 완화

제로데이 취약점 은 Exchange Server에서 이 인기 있는 마이크로소프트 애플리케이션을 활용하는 글로벌 조직에게 심각한 위협을 가하며 사이버 위협 분야에서 큰 파장을 일으키는 경향이 있습니다. 베트남의 사이버 보안 기업 GTSC 의 연구자들은 최근 Microsoft Exchange Server 2013, 2016 및 2019에 영향을 미치는 새로운 제로데이 취약점을 발견했습니다. GTSC 연구자들에 따르면, 발굴된 제로데이는 중국의 Chopper 웹 쉘을 다운로드할 수 있도록 연결하여, 공격자가 민감한 데이터를 훔치고 손상된 환경 전체에 횡단 이동을 수행할 수 있게 합니다. 이 악의적인 활동은 웹 쉘을 포함한 코드 페이지와 중국의 오픈 소스 웹사이트 관리 유틸리티인 AntSword를 사용하는 것으로 미루어 보아 중국의 해킹 집단과 관련이 있습니다. GTSC의 사이버 보안 연구진들은 최신 익스플로잇 체인이 Microsoft Exchange 애플리케이션을 대상으로 하여 ProxyShell 결함.

과 유사한 공격에서 사용되는 것과 유사점을 보인다고 언급했습니다. 즉각적인 조치를 위해, GTSC는 이러한 제로데이 결함 중 하나를 활용하여 원격 코드 실행(RCE)을 수행하는 공격자들의 진행 중인 공격 캠페인에 대한 경고를 발표했습니다. 사이버 보안 연구진들은 발견된 보안 취약점에 대한 중요한 정보를 제로 데이 이니셔티브로 마이크로소프트에 비공개적으로 제출했습니다. 이 결함은 ZDI-CAN-18333과 ZDI-CAN-18802로 식별되었습니다.

2022년 9월 29일, 마이크로소프트 보안 대응 센터는 보고된 마이크로소프트 익스체인지 제로데이 취약점에 대한 고객 지침 을 발행하며 위협을 해결하기 위한 완화 조치 목록을 제공했습니다. 첫 번째 결함은 CVE-2022-41040로 추적되는 서버 측 요청 위조(SSRF) 취약점이며, 두 번째 결함인 CVE-2022-41082는 위협 행위자가 PowerShell을 사용하여 RCE를 수행할 수 있도록 합니다. 마이크로소프트 익스체인지 서버에 인증된 액세스를 얻고 CVE-2022-41040을 활용한 후, 위협 행위자는 익스플로잇 체인으로 이어지는 두 번째 취약점을 트리거할 수도 있습니다.

고객 지침에 따르면, 마이크로소프트 익스체인지를 사용하는 온라인 고객은 공개된 제로데이 버그가 온프레미스 애플리케이션에만 영향을 미치기 때문에 즉각적인 조치를 취할 필요가 없습니다. 완화 조치로서, 온프레미스 애플리케이션 사용자는 제공된 URL 재작성 지침 을 따르고 손상된 원격 PowerShell 포트를 차단할 것을 권장합니다. 여기에는 HTTP: 5985와 HTTPS: 5986이 포함됩니다.

MITRE ATT&CK® 컨텍스트

현재 진행 중인 공격에 사용된 마이크로소프트 익스체인지 제로데이의 컨텍스트를 깊이 탐구하기 위해, 상술한 Sigma 규칙은 MITRE ATT&CK® 프레임워크 에 매핑되어 관련 전술 및 기술을 다룹니다: