OWASSRF 익스플로잇 탐지: 새로운 익스플로잇 방법으로 Exchange 서버 악용하여 ProxyNotShell (CVE-2022-41040 및 CVE-2022-41082) 완화를 우회하고 원격 코드 실행 획득
목차:
2022년 12월 20일, 사이버 보안 연구자들은 OWASSRF로 불리는 새로운 익스플로잇 방법을 발견했습니다. 이 방법은 CVE-2022-41080 및 CVE-2022-41082 취약점을 연계하여 Outlook Web Access (OWA)를 통한 권한 상승을 통해 RCE를 얻는 것입니다. OWASSRF는 ProxyNotShell 완화 조치를 우회할 수 있습니다. 사이버 방어자들은 이러한 진행 중인 공격이 점점 더 많은 Microsoft Exchange 서버에 위협을 가한다고 강조합니다.
OWASSRF 익스플로잇 시도 탐지
Microsoft Exchange 제로데이 취약점으로 알려진 ProxyNotShell 가 2022년 9월부터 야생에서 적극적으로 악용되고 있어 전 세계의 사이버 방어자들은 그 잠재적 영향을 경계하고 있습니다. CVE-2022-41080 및 CVE-2022-41082 취약점을 연결하여 ProxyNotShell에 대한 Microsoft 완화 조치를 우회하는 새로운 익스플로잇 방법인 OWASSRF의 발견으로 방어자들은 새로운 위협에 대비해야 합니다.
전 세계 조직이 Microsoft Exchange 서버의 잠재적 손상을 신속하게 식별할 수 있도록 하기 위해, SOC Prime Platform은 전용 Sigma 규칙 목록을 큐레이션합니다. 이러한 탐지 알고리즘은 SOC Prime 팀과 우리의 Threat Bounty 콘텐츠 기여자인 Nasreddine Bencherchali에 의해 개발되었으며, 업계 선두의 SIEM, EDR, XDR 및 데이터 분석 솔루션에 적용될 수 있습니다. 모든 시그마 규칙은 MITRE ATT&CK® 과 일치하여 Exploit Public-Facing Application (T1190) 기법을 주요 기법으로 하는 초기 접근 전술을 다루고 있습니다.
을 통해 군중소싱 콘텐츠 개발에 합류하여 글로벌 사이버 방어 공동체가 공격자보다 앞서 나아가도록 도우세요. ATT&CK으로 태그가 지정된 자신의 Sigma 규칙을 작성하여 SOC Prime 플랫폼에 게시하고, 업계 동료로부터 돈과 인정을 받으세요. 을 통해 군중소싱 콘텐츠 개발에 합류하여 글로벌 사이버 방어 공동체가 공격자보다 앞서 나아가도록 도우세요. ATT&CK으로 태그가 지정된 자신의 Sigma 규칙을 작성하여 SOC Prime 플랫폼에 게시하고, 업계 동료로부터 돈과 인정을 받으세요. to help the global cyber defender community stay ahead of attackers. Write your own Sigma rules tagged with ATT&CK, get them published to SOC Prime Platform, and earn both money and recognition from your industry peers.
클릭하여 탐지 탐색 버튼을 클릭하여 OWASSRF 익스플로잇 시도의 탐지를 위한 새로 출시된 Sigma 규칙의 전체 컬렉션에 도달하세요. 메타데이터를 찾고 계십니까? 관련 사이버 위협 컨텍스트를 탐색하고, ATT&CK 및 CTI 링크, 실행 가능한 바이너리, 완화 조치를 포함하여 더 많은 세부 정보를 탐색하세요.
OWASSRF 분석: 원격 코드 실행을 위한 Exchange 서버 손상에의 새로운 익스플로잇 체인
CrowdStrike 연구자들은 휴가철 동안 보안 담당자들에게 큰 골칫거리가 될 수 있는 문제를 발견했습니다. 최근 조사 에 따르면 Microsoft Exchange 서버를 RCE로 손상시킬 수 있는 새로운 익스플로잇 방법이 상세하게 설명되어 있습니다. OWASSRF로 알려진 이 악성 기술은 Microsoft가 ProxyNotShell을 위한 URL 재작성 완화 조치를 우회하고, Outlook Web Access (OWA)에서 권한 상승을 통해 RCE를 달성할 수 있도록 합니다.
처음에 OWASSRF는 Play 랜섬웨어 캠페인 연구 중에 관찰되었습니다. 공격자들은 타깃 네트워크에 침투하기 위해 영향을 받은 Exchange 서버를 활용했습니다. 연구자들은 공격자들이 전형적인 Microsoft Exchange ProxyNotShell (CVE-2022-41040, CVE-2022-41082)를 활용했다고 추측했습니다. 그러나 로그 데이터에는 초기 접근을 위한 CVE-2022-41040이 활용된 징후가 없었습니다. 대신, 요청은 OWA 엔드포인트를 통해 직접 발견되었으며 Exchange를 위한 알려지지 않은 익스플로잇 체인을 보여줍니다.
조사 결과, 공격자들이 OWASSRF 방법을 사용하는 동안 또 다른 취약점을 이용했다는 사실이 밝혀졌습니다. 특히 해커들은 CVE-2022-41080을 활용하여 Exchange 서버에서 원격 권한 상승을 가능하게 했습니다. 이 결함은 Microsoft에 보고되었고 2022년 11월에 수정되었습니다. 흥미롭게도 이 보안 취약점은 당시에는 치명적인 것으로 간주되었지만, 실제로는 악용되지 않았습니다.
2022년 12월 14일, Dray Agha 연구자가 웹에 플루프 오브 컨셉(Proof-of-Concept, PoC) 익스플로잇을 다른 공격 도구세트와 함께 게시했습니다. CrowdStrike에 따르면, 이 PoC는 Play 랜섬웨어 공격에 사용된 익스플로잇과 일치하며, Plink 및 AnyDesk와 같은 원격 액세스 도구 제공에 활용되고 있었습니다.
최근의 보고서에 따르면 Rapid7에 의한 보고서에 따르면, 보안 전문가들은 OWASSRF 익스플로잇 체인을 통해 Microsoft Exchange 서버가 손상되는 비율이 증가하는 것을 관찰하고 있습니다. 이는 소프트웨어 버전 2013, 2016 및 2018을 포함합니다. Rapid7 연구자들은 Microsoft 완화 조치를 활용하는 Exchange 서버가 영향을 받을 수 있는 반면, 패치된 서버는 취약하지 않는 것으로 보인다고 말합니다. 인프라를 신속히 보호하기 위해 노출된 조직은 2022년 11월 8일 Microsoft의 패치 화요일 온디맨드로 완전한 장비를 구비하십시오.
추가적인 완화 조치로서, 벤더들은 관리자 권한이 없는 사용자를 위해 PowerShell을 비활성화하고, Exchange 서버에서 손상의 징후를 지속적으로 모니터링하며, 웹 애플리케이션 방화벽을 적용하고 사이버 위생을 유지하기 위한 최상의 보안 실천 방안을 채택해야 합니다.
기존 취약점에 대한 700개 이상의 Sigma 규칙을 포함하여 즉각적인 사이버 방어 능력으로 공격자들에 대비하세요. 즉시 120개 이상의 탐지를 무료로 이용하거나 https://my.socprime.com/pricing 에서.
