Hafnium Microsoft Exchange Zero Days, 관리자 액세스를 중요한 공격 표면으로 노출

Microsoft는 최근 하프늄(Hafnium) 공격 그룹이 Microsoft Exchange Server의 제로데이 취약점 4개를 적극적으로 악용하고 있음을 공개했습니다. 이러한 취약점 중 세 가지는 다음과 함께 작동할 수 있습니다. 인증 취약점을 우회하거나 손상된 자격 증명으로 관리자 권한을 얻습니다. 이는 관리자 액세스가 중요하다는 점을 다시 한 번 강조합니다. 공격 표면 그건 철저히 지켜져야 해.

Microsoft는 이러한 취약점이 수정된 보안 업데이트를 출시했습니다. 이것은 지금까지 가장 효과적인 보호 방법이며 최대한 빨리 설치하는 것이 좋습니다. 또한 다양한 보안 공급업체는 고객이 해당 환경에서 이러한 취약성이 악용되는지 감지할 수 있도록 IOC를 출시했습니다.

그러나 이것은 결코 마지막 제로데이 이벤트나 관리 인터페이스를 대상으로 하는 마지막 공격이 아닙니다. 그리고 보안 업데이트와 릴리스된 IOC 모두 하프늄 위협을 완화하지만 이 공격 표면을 완전히 제거하는 사전 예방적 보호 방법이 분명히 필요합니다.

Silverfort의 통합 신원 보호 는 그러한 방법을 제공하여 ID 및 보안 팀이 중요한 서버에서 코드에 액세스, 수정 또는 실행하기 위해 손상된 관리자 자격 증명을 활용하는 공격자의 능력을 크게 줄일 수 있습니다.

하프늄 제로 데이즈의 실제 위험은 무엇입니까?

Exchange 서버는 일반적으로 중요한 엔터프라이즈 데이터를 포함하므로 공격자에게 중요한 대상으로 간주됩니다. 공격자는 대상 네트워크에서 초기 발판을 마련한 후 일반적으로 관리자 자격 증명을 손상시켜 권한 있는 액세스 권한을 얻으려고 합니다. 불행한 현실은 여러 보안 솔루션이 있음에도 불구하고 공격자는 일반적으로 이 작업에 성공한다는 것입니다.

이 공격에서 Hafnium은 두 가지 유형의 제로데이 취약점을 악용합니다.

1. >인증 우회 취약점 CVE-2021-26855 공격자가 교환 서버로 인증하고 악의적인 액세스 권한을 얻을 수 있습니다.
2. 코드 실행 및 파일 쓰기 취약점(CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) 공격자가 코드를 실행하고 서버의 모든 경로에 파일을 쓸 수 있도록 합니다. 이를 사용하기 위해 공격자는 다음 중 하나를 악용해야 합니다. CVE-2021-26855 먼저, 또는 관리자 자격 증명으로 로그인하십시오.

킬 체인의 이 부분에서 공격자는 합법적인 자격 증명을 사용하여 합법적인 로그인처럼 보이는 작업을 수행합니다. IAM 솔루션, 다른 보안 솔루션은 효율적으로 문제를 식별할 수 없습니다.

관리자 자격 증명에 대한 시간 보호 Silverfort

MFA는 손상된 자격 증명의 악의적인 사용에 대한 강력한 제어 기능임이 입증되었습니다.. 사용자가 두 번째 요소로 자신의 신원을 확인하도록 요구함으로써 공격자가 무단 액세스하는 것을 방지할 수 있습니다. 문제는 오늘까지만 해도 MFA RDP 또는 명령줄 원격 액세스 도구를 사용하여 액세스가 로컬로 수행되는지 원격으로 수행되는지에 관계없이 Microsoft의 Exchange Server를 포함한 온프레미스 서버에 대한 액세스 인터페이스에서 솔루션을 구현할 수 없었습니다.

다행히, Silverfort 이제 실시간으로 관리 액세스에 대해 이러한 유형의 보호를 시행할 수 있습니다. 온프레미스 교환을 위한 MFA.

관리 액세스를 위한 MFA

정책에 따라 다음을 입력해야 합니다.

• 사용자: Exchange Server에서 관리 권한이 있는 모든 계정 목록
• 소스: Exchange 관리자 컴퓨터 그룹의 일부가 아닌 모든 컴퓨터
• 원하는 조치: 이러한 원본 컴퓨터에서 Exchange Server로의 모든 액세스 시도에 대해 MFA를 적용하는 것이 좋습니다.

스크린샷 1: 샘플 Silverfort 정책공격자는 관리자가 정기적으로 사용하지 않는 원격 시스템에서 연결하기 때문에; 이러한 시스템의 모든 액세스 시도는 MFA 요청을 트리거합니다. 공격자가 자격 증명을 사용한 관리자. 관리자는 요청을 거부(또는 무시)하여 공격자가 로그인하지 못하게 합니다.

서비스 계정의 액세스 모니터링 및 차단

많은 배포에서 다양한 서비스 계정 Exchange 서버용으로 생성됩니다. 이러한 기계 간 계정은 인간 관리자 계정과 관련된 동일한 위험을 초래하지만 실제 사람이 없기 때문에 MFA로 보호할 수 없습니다.

의 행동부터 서비스 계정 매우 예측 가능하며, Silverfort 자동으로 식별하고 행동을 기준선과 비교하여 손상 가능성을 나타낼 수 있는 편차를 감지합니다. Silverfort 그런 다음 언제든지 쉽게 활성화할 수 있는 정책 제안을 제공하여 의심스러운 액세스를 차단하고, SIEM에 경고를 보내고, 로그에 기록하거나, 이 세 가지를 조합합니다.

침해 후 분석을 위한 가시성

Silverfort 관리자 계정 활동 및 각 액세스 시도의 위험 수준에 대한 전체 감사 추적을 생성하고 제공합니다. 이 가시성은 MFA를 시행하지 않기로 선택한 경우에 매우 유용합니다. 이는 악의적인 액세스 시도를 실시간으로 차단하지 않지만 의심스러운 로그인에 대한 실행 가능한 통찰력을 제공하고 이전 악의적 활동에 대한 효율적인 포렌식 분석을 수행하는 데 도움이 됩니다.

결론

관리 액세스는 네트워크에서 가장 중요한 공격 표면 중 하나이며 그에 따라 보호되어야 합니다. 환경의 중요한 시스템에 대한 모든 관리자 액세스에 MFA를 적용하면 공격자가 악의적인 목적으로 액세스하는 것을 사전에 방지할 수 있습니다. CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 하프늄 제로데이 취약점. Silverfort 각 Exchange 서버에 소프트웨어 에이전트를 설치하지 않고 네트워크에 프록시를 배포하지 않고도 모든 장치에서 MFA를 시행할 수 있습니다.

자세한 내용을 보려면, 전문가와 통화 예약.