<aside> 🧑‍🎓

활동 내용 요약

1. 응용 계층 팀 발표 진행 → 캘린더의 5주차 모임에 발표 자료와 사진이 올라가있습니다!
2. 보안 사고의 CVE 분석 </aside>

웹 해킹 → Active Directory 공격으로 이어지는 공격 시나리오

MS가 Hafnium 그룹에게 공격당한 사례 (2021/03)

Microsoft의 Exchange 서버에서 취약점이 발생하여 공격자가 Microsoft의 Active Directory를 장악하고 데이터베이스를 유출한 사고이다.

이 서버는 회사용 이메일 서버로, 조직에서 이메일, 일정, 연락처, 업무 등을 관리해주는 서버 프로그램이었다. ➡️ 공격자가 서버를 장악하면 회사 전체의 내부 정보가 모두 털릴 수 있는 구조

• 지메일, 네이버는 개인용이고, Exchange는 조직 내부에서 돌리는 비즈니스용 이메일 서버이다. (메일이 [email protected] 처럼 생김)
  • Mailbox Server: 이메일 데이터, 사용자 사서함, 연락처, 일정 등을 저장하고 관리하는 서버. 메일의 전송과 수신을 모두 담당한다.
  • Client Access Services: 유저가 웹, Outlook 앱, 스마트폰으로 접속을 할 수 있게 해주는 일종의 프론트엔드 역할을 하였다.

https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers

https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-062a

It is possible for an attacker, once authenticated to the Exchange server, to gain access to the Active Directory environment and download the Active Directory Database.

인증 우회 ➡️ 웹쉘 설치 ➡️ SYSTEM 권한 획득 ➡️ 내부 AD 장악 및 데이터베이스 탈취

<aside> 🧑‍🎓

웹 애플리케이션 취약점으로 AD에 침투할 수 있는 조건

조건 1. 웹 서버가 내부망과 연결되어 있거나, AD와 동일 네트워크 상에 있어야 한다.

조건 2. RCE를 활용해 권한 상승을 성공해야 한다.

취약한 웹 → RCE → 내부 네트워크를 스캔하여 AD 포트 찾기 → 권한 상승 후 Active Directory 공격 (BloodHound같은 공격 툴 사용)

</aside>

ProxyLogon - 익스플로잇 체인

1. CVE-2021-26855 (SSRF)

개요

SSRF를 이용하여 Exchange 서버의 관리자 권한을 획득한 취약점이다.

• SSRF(Server-Side Request Forgery)란?

Microsoft Exchange Server의 /ecp/ 경로를 포함하는 Exchange Control Panel (ECP) 컴포넌트에서 프론트엔드 ↔ 백엔드 구조의 설계 결함때문에 발생하여 인증되지 않은 사용자도 원격에서 공격이 가능하였다. (누구나 공격이 가능하였기 때문에 치명적인 취약점으로 분류되었다.)

Exchange 서버의 아키텍처 구조

사용자의 요청을 프론트엔드에서 받아 내부의 백엔드 서버로 프록시한다.