2023.10 - ProxyShell

MS Exchange Server ProxyShell

1. 개요

ProxyShell 취약점은 MS Exchange Server에서 발생할 수 있는 SSRF(Server Side Request Forgery)와 RCE(Remote Code Execute) 취약점으로, 여러 CVE로 구성되어 있습니다.

2. 공격 과정

ProxyShell 취약점에 해당되는 총 3개의 CVE들이 어떤 방식으로 연계되어 사용되는지에 대한 분석입니다.

1) CVE-2021-34473

MS Exchange Server에서 인증 없이 해당 서버의 Backend에 접근하는 취약점으로, ProxyLogon 취약점으로 불리는 CVE-2021-26855 취약점을 응용하여 인증 절차 없이 접근이 제한된 Backend 서비스에 접근이 가능합니다. 공격자는 이를 악용하여 해당 서버의 백엔드 서비스를 이용하거나 다른 취약점과 연계해 악성코드나 프로그램을 실행시킬 수 있습니다.

2) CVE-2021-34523

특정 mail 계정에 MS Exchange Server 내 PowerShell 접근 권한을 부여하는 취약점으로, CVE-2021-34473 취약점을 활용해 접근하면 NT AUTHORITY\SYSTEM 권한으로 접근되는데, 해당 계정은 mail이 존재하지 않아 존재하는 임의 mail 주소를 활용해 임의 토큰을 만들어 X-Rps-CAT 매개변수에 삽입하면 해당 mail 계정이 Exchange Admin 권한으로 사용되어 PowerShell에 접근이 가능합니다. 공격자는 이를 악용하여 PowerShell에 접근하여 임의 명령을 실행시킬 수 있습니다.

3) CVE-2021-31207

MS Exchange Server의 Backend에 접근한 상태에서 SMTP로 작성된 Webshell을 전송하거나, 메일 초안 문서를 Webshell 내용으로 변경하여 악성 명령을 실행시키는 취약점으로, Webshell을 업로드 후 WSMAN 프로토콜로 Powershell이 해당 Webshell을 실행시키도록 명령을 전송하여 업로드된 Webshell을 통해 임의 명령을 실행시킬 수 있습니다.

[그림 1] ProxyShell 익스플로잇 체인 출처 : https://www.bitdefender.com/blog/businessinsights/technical-advisory-proxyhell-exploit-chains-in-the-wild/

3. 대응

ProxyShell의 경우 SSRF 취약점인 CVE-2021-34473을 통해 나머지 취약점이 수행되는 구조로, 해당 취약점을 방지하기 위해 Microsoft에서는 MS Exchange Server 2013 Cumulative Update 23 이상, MS Exchange Server 2016 Cumulative Update 19 이상, MS Exchange Server 2019 Cumulative Update 8 이상으로 패치하는 것을 권고하고 있습니다.

저희 AIWAF 제품에서는 "MS Exchange Server RCE 2" 패턴으로 해당 취약점을 악용한 공격 구문을 탐지합니다.

4. 결론

MS Exchange Server에서 발생한 ProxyShell 취약점의 경우 여러 취약점들의 연계된 취약점이며, BlackCat 등의 랜섬웨어 그룹에서 취약점을 악용한 사례가 발견되어 더욱 유명해진 취약점으로, 내부 정보 유출이나 랜섬웨어 공격 등 위협적인 공격으로 연계되어 해당 서비스에 대한 업데이트가 필요합니다.

저희 AIWAF 제품에서는 ProxyShell 취약점에 대해서 패턴을 개발하여 대응하고 있으며, 앞으로도 추가적인 우회 방안이나 신규 취약점에 대해서도 신속하게 대응할 예정입니다.