□ 개요 
o MS사는 Exchange Server에서 발생하는 취약점을 해결하기 위한 보안 업데이트 발표
o 영향 받는 버전을 사용하는 이용자들 중 피해가 의심되거나 확인을 원하는 경우, 아래의 방안에 따라 보안 점검 권고

□ 설명
o MS Exchange Server에서 발견된 취약점(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)과 취약점을 악용한 악성 스크립트 여부 탐지 및 조치 방안 안내

 
□ 영향 받는 버전
o Microsoft Exchange Server 2013
o Microsoft Exchange Server 2016
o Microsoft Exchange Server 2019
 
□ 취약점 및 감염 확인 방법
 
o CVE-2021-26855 취약점에 대한 확인
- Exchange Server의 HttpProxy 로그 확인

경로 : %PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy 확인사항 : 로그에서 AuthenticatedUser 부분이 공란이고 AnchorMailBox가 ServerInfo~*/* 패턴확인

 
 
 
- 로그 점검 명령(파워쉘(Powershell)) 예시

Import-Csv –Path (Get –ChildItem –Recurse –Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy" -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser –eq ‘ ’ -and $_.AnchorMailBox –like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailBox

 
- AnchorMailBox 경로의 어플리케이션 로그 확인(취약점과 관련한 악성 행위 탐지 로그)

경로 : %PROGRAMFILES%MicrosoftExchange ServerV15Logging

 
o CVE-2021-26858 취약점에 대한 확인
- OABGenerateLog 확인

경로 : C:Program FilesMicrosoftExchange ServerV15LoggingOABGeneratorLog

 
- 로그 확인 명령어 예시

findstr /snip /c:“Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log”

 
- 파일이 다운로드는 아래 경로에만 이루어지는 것이 정상이며, 감염된 경우에는 다른 경로에 다운로드 됨

경로 : %PROGRAMFILES%MicrosoftExchange ServerV15ClientAccessOABTemp

 
o CVE-2021-26857 취약점에 대한 확인
- 윈도우즈 어플리케이션 이벤트 로그 확인
 

Source : MSExchange Unified Messaging EntryType : Error Event Message Contains : System.InvalidCastException

 
- 로그 확인 명령어 예시

Get –EventLog –LogName Application –Source “MSExchange Unified Messaging” - EntryType Error | Where-Object { $._Mesage –like “*System.InvalidCastException*” }

 
o CVE-2021-27065 취약점에 대한 확인
- Exchange 로그 파일 확인
※ 모든 Set-VirtualDirectory 속성이 스크립트를 포함하여서는 안되며 InternalUrl, ExternalUrl은 모두 유효한 Uris 값이어야 함
 

경로 : C:Program FilesMicrosoftExchange ServerV15LoggingECPServer

 
- 로그 확인 명령어 예시

Select-String –Path “env : PROGRAMFILESMicrosoftExchange Server V15LoggingECPServer*.log” -Pattern ‘Set-.+VirtualDirectory’

 
□ MS社 제공 도구를 이용한 빠른 점검 방법
 
o 아래 사이트를 방문하여 스크립트 실행
- 위의 로그 확인 명령 네 가지를 자동으로 실행 가능하며 자세한 사용 방법은 사이트 참조

사이트 URL : https://github.com/microsoft/CSS-Exchange/tree/main/Security 스크립트 - Test-ProxyLogon.ps1 : 로그 확인 명령 자동 실행 - BackendCookieMitigation.ps1 : CVE-2021-26855 취약점에서 사용되는 https 요청을 필터링 - http-vuln-cve2021-26855.nse : nmap과 함께 사용, 지정된 URL이 CVE-2021-26855에 취약여부 확인 가능 ※ 명령어 예시 : Nmap –Pn –p T:443 —script http-vulnp-cve2021-26855 IP

 
o Microsoft Support Emergency Response Tool(MSERT)를 이용하여 점검하는 방법
- 아래 링크에서 Microsoft Safety Scanner 다운로드 및 실행하여 스캔
※ https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
 
□ 기타 문의 사항
o 한국인터넷진흥원 사이버민원센터: 국번 없이 118
 
 
[참고사이트]
- https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- https://github.com/microsoft/CSS-Exchange/tree/main/Security
- https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
 


□ 작성 : 침해사고분석단 취약점분석팀