MS Exchange Server 보안 취약점 주의 권고
페이지 정보
작성자 세종엠에스피 작성일19-01-30 12:59 조회19,723회관련링크
본문
o MS Exchange Server에서 취약한 인증을 악용한 권한탈취가 가능한 취약점이 발견되어 이용자들의 주의 당부 및 보안 설정 권고
□ 설명
o Exchange Server에서 NTLM 인증 트래픽에 sign 및 seal 플래그가 설정되지 않아 원격의 공격자가 서버의 권한을 탈취할 수 있는 취약점
□ 영향을 받는 제품
o Exchange Server 2013 및 이후 버전
□ 해결 방안
1. EWS push/pull 비활성화 (서버의 영향도 및 파급도를 고려하여 진행할 것을 권고)
- Exchange 관리 쉘 창에서 아래의 명령어를 입력하여 PushSubscriptionRequest API 호출 차단
New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0 Restart-WebAppPool -Name MSExchangeServicesAppPool |
2. 신뢰된 사용자에게만 EWS 기능을 허용하는 화이트리스트 정책 생성 및 적용
정책생성 : New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular –EwsMaxSubscriptions 5000
해당 사용자에게 정책 적용 : Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions |
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
□ 용어정리
o EWS : Exchange Web Service의 약자로, Exchange 서버의 전자메일 및 관련 데이터를 저장, 검색, 이동, 수정 등의 기능을 관리자에게 제공하는 API 도구
[참고사이트]
[1] https://www.kb.cert.org/vuls/id/465632/
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007