MS Exchange Server 보안 취약점 주의 권고
2022-09-30
□ 개요
o MS Exchange Server에서 원격 코드 실행이 가능한 취약점이 발견되어 이용자들의 주의 당부 및 보안 설정 권고
□ 설명
o Microsoft Exchange Server에서 발생하는 SSRF(Server-Side Request Forgery) 취약점(CVE-2022-41040)
o Microsoft Exchange Server에서 발생하는 원격 코드 실행 취약점(CVE-2022-41082)
□ 영향을 받는 제품
o Microsoft Exchange Server 2013, 2016 및 2019
□ 해결 방안
o IIS Manager를 통해 차단 룰 적용
1. IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite를 클릭
2. Actions 창에서 Add Rules 클릭
3. Request blocking을 선택하고 OK 버튼 클릭
4. “.*autodiscover\.json.*\@.*Powershell.*” 문자열 입력(쌍따옴표 제외) 후 OK 버튼 클릭
5. 룰을 펼쳐 “.*autodiscover\.json.*\@.*Powershell.*” 패턴이 적용된 룰을 선택 후 Conditions 창 아래 Edit 클릭
6. Condition Input에 {URL}을 {REQUEST_URI}로 변경
o 원격 파워쉘 포트 차단
- HTTP : 5985
- HTTPS : 5986
※ On-premise 환경 사용자의 경우 위 조치가 필요쿇며, Microsoft Exchange Online 사용자는 별도 조치 불필요
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
□ 작성 : 취약점분석팀
