□ 개요

2022년 12월 2일, 클라우드 관리 대행 호스팅 서비스 업체 랙스페이스 테크놀로지(Rackspace Technology)가 랜섬웨어에 감염되면서 Hosted Exchange 서비스가 중단되고 수 많은 중소기업들이 메일을 보낼 수 없었습니다. Rackspace를 공격한 그룹은 Play로,  ProxyNotShell 취약점에 대한 제로데이 익스플로잇을 실시한 것으로 밝혀졌습니다.

Rackspace 경영진과 외부 고문은 언론 인터뷰에서 11월 29일, 공격자가 Rackspace 고객의 자격 증명을 이용해 회사 서버에 접근했으며, 12월 2일 랜섬웨어에 감염되었다고 밝혔습니다. Rackspace 고객들은 12월 2일 금요일부터 계정에 로그인할 수 없었고, Hosted Exchange 이메일 서비스는 중단되었습니다. Rackspace는 4일 후인 12월 6일, 랜섬웨어에 감염됐다는 사실을 공개했습니다.

Rackspace는 해커가 어떻게 자격 증명을 얻었는지 알 수 없었다고 말했습니다. 데이터가 침해된 고객을 식별하거나 고객 데이터에 다시 접근하기 위해 Play 그룹에 몸값을 지불했는지 여부는 공개하지 않았습니다.

□ 고객 PST(Personal Storage Table) 파일 접근

Rackspace는 공격자가 이메일, 일정 데이터, 연락처, 작업을 포함한 고객의 PST(Personal Storage Table) 파일 중 일부에 액세스했다고 밝혔습니다. 포렌식 조사 결과, 공격자는 공격 당시 Hosted Exchange 이메일 환경에 있던 약 30,000명의 고객 중 27명의 개인 저장소 테이블(PST)에 접근했습니다. 다만, 접근한 백업 파일의 내용을 열람하거나 정보를 오용한 증거는 없다고 Rackspace는 덧붙였습니다.

□ ProxyNotShell의 제로데이 익스플로잇 악용

Play 그룹은 제로데이 익스플로잇을 사용하여 Rackspace Hosted Exchange 이메일 환경에 대한 초기 접근 권한을 얻은 것으로 확인되었습니다. 12월 20일 발표된 CrowdStrike 보고서에 의하면, 마이크로소프트 익스체인지 서버의 ProxyNotShell(CVE-2022-41080) 취약점의 새로운 익스플로잇(OWASSRF)을 악용한 것으로 밝혀졌습니다. 

[그림 1] ProxyNotShell과 새로운 OWASSRF 익스플로잇 방식의 차이점(출처: CrowdStrike)

Microsoft는 CVE-2022-41080을 권한 에스컬레이션 취약점으로 공개했습니다. 하지만 CrowdStrike가 Rackspace 사고를 조사하면서 CVE-2022-41080 취약점이 원격 코드 실행 공격에도 사용될 수 있음을 확인했습니다.

Rackspace 외부 고문은 언론 인터뷰를 통해 “Rackspace는 ProxyNotShell 패치 적용을 연기해 왔습니다. ProxyNotShell 패치를 적용했을 때 Exchange 서버에 “인증 오류”가 발생할 수 있다는 보고가 있었기 때문입니다”라고 밝혔습니다. 대신 MS가 공개한 패치 대신 취할 수 있는 위험 완화 조치를 했다고 말했습니다.

□ 참고 자료

[1] Hosted Exchange Disruption

https://status.apps.rackspace.com/index/viewincidents?start=1672894800 

[2] OWASSRF: CrowdStrike Identifies New Exploit Method for Exchange Bypassing ProxyNotShell Mitigations

https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

보안관제센터 MIR Team