마이크로소프트, 익스체인지 서버의 2가지 제로데이 취약점에 대한 권고, 아직 패치 없음

Microsoft Exchange Server는 멈출 수 없습니다. 작년에 이 회사는 로컬 서버에 대한 광범위한 공격에 대해 경고하고 몇 주에 걸쳐 이를 해결하고 보안 업데이트를 릴리스하기 위한 세부 조치를 서두르고 있습니다. 이제 소프트웨어가 2개의 0-day 취약점으로 다시 공격을 받고 있는 것으로 보입니다 .

일반적으로 이것은 Exchange Online 고객에게 영향을 미치지 않으며 아무 것도 할 필요가 없습니다. 취약점은 Exchange Server 2013, 2016 및 2019의 로컬 설치에 적용됩니다.

두 취약점에는 각각 CVE-2022-41040 및 CVE-2022-41082 태그가 지정되어 있습니다. 전자는 SSRF(Server Side Request Forgery) 취약점이고, 후자는 공격자가 PowerShell을 통해 RCE(원격 코드 실행) 공격을 수행할 수 있도록 합니다. 그러나 공격자는 두 가지 취약점 중 하나를 악용하기 위해 Exchange Server에 대한 인증된 액세스가 필요합니다.

아직 수정 사항이 없기 때문에 Microsoft는 당연히 공격 체인의 세부 사항에 들어가지 않았습니다. 그러나 그는 URL 재작성 지침에 차단 규칙을 추가하고 원격 PowerShell에서 사용하는 포트 5985(HTTP) 및 5986(HTTPS)을 차단하는 등 몇 가지 완화 조치를 언급했습니다.

유감스럽게도 Microsoft Sentinel에 대한 특정 검색은 없으며 Microsoft Defender for Endpoint는 “야생” 공격에서 발견된 ” Chopper ” 웹 셸 맬웨어의 탐지도 포함하는 악용 후 활동만 탐지할 수 있습니다. Microsoft는 수정 사항에 대한 “빠른 트랙”을 작업 중이라고 고객에게 확신했지만 아직 수정 사항에 대한 잠정 릴리스 날짜를 밝히지 않았습니다. 완화 및 0일 취약점 탐지에 대한 자세한 정보는 여기 에서 찾을 수 있습니다 .