none
XEXCH50 확장명령을 사용한 공격? RRS feed

  • 질문

  •  

    외부(외국)에서 사내 메일서버로 XEXCH50 확장명령을 사용하는 공격성 패턴이 지속적으로 발생하고 있습니다. 물론 해당 메일서버는 외국의 특정 메일서버와 하등의 관계가 없는 독립서버입니다.

     

    하단의 로그를 살펴보면 공격자는 텔넷을 통해 EXCHANGE 접속후 XEXCH50 확장명령을 사용하여 데이터 전송을 하고자 하였으나 정상적인 인증을 거치지 않았기에 에러(504 5.7.1 Not authorized)가 발생했을 것으로 판단하고 있습니다.

    또한 해당 시스템은 WINDOWS SERVER 2008 (EXCHANGE 2003 or 2007) 이므로 과거에 사용자 인증을 거치지 않고 XEXCH50 확장명령을 사용할 수 있었던 취약점은 제거되어 해당 공격은 무효하다고 판단됩니다.

     

    보안권고에는 "Microsoft Exchange 서버에 버퍼 오버플로우 취약성이 있어서 공격자가 조작한 데이터를 전송해서 메모리를 손상할 수 있습니다. Microsoft Exchange 서버의 XEXCH50 명령을 TCP/25(SMTP) 포트로 전송해서 공격자가 이와 같은 버퍼 오버플로우를 일으킬 수 있으며, 이 공격의 결과로 가용 메모리 용량이 감소해서 메일 서비스가 중단되거나, 서버가 응답하지 않을 수 있습니다."라고 게시되어 있습니다.

     

    아래 로그가 EXCHANGE 서버의 메일 송수신시에 발생되는 정상적인 로그인지, 그렇다면 XEXCH50 이라는 확장명령이 로그에 포함되어 있는것이 정상인지, 아니면 제 추측처럼 공격성 로그가 맞는지요. 분석 부탁드립니다.

     

     

    220 EXEDGE.xxx.xxx.xxx Microsoft ESMTP MAIL Service ready at Mon, 6 Oct 2008 16:20:26 +0900
    EHLO MONRCSNM313.jtfcs.ds.mil
    250-EXEDGE.xxx.xxx.xxx Hello [xxx.xx.xxx.xxx]
    250-SIZE 15728640
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-STARTTLS
    250-X-ANONYMOUSTLS
    250-AUTH
    250-X-EXPS NTLM
    250-8BITMIME
    250-BINARYMIME
    250-CHUNKING
    250 XEXCH50
    MAIL FROM:<xxx@nate.com> SIZE=3298 AUTH=<>
    250 2.1.0 Sender OK
    RCPT TO:<xxx@xxx.xxx.xxx>
    250 2.1.5 Recipient OK
    XEXCH50 1020 2
    504 5.7.1 Not authorized
    BDAT 3298 LAST

    2008년 10월 17일 금요일 오전 8:08

모든 응답

  •  

    504 5.7.1 Not authorized 만 가지고 공격이다 아니다를 판단하기는 어려워 보입니다.

    누군가가 지속적으로 악의적으로 session 을 맺고 있다면

    SMTP level 에 계속 물려있는 session 과 해당 IP를 추적해 보시거나

    SMTP Log 를 통해서 위와 같은 시도가 지속적으로 있어

    서버에 장애를 일으킬 만큼의 부하를 준다면 모를까

    위의 내용만 가지고는 말씀 드리기가 어려워 보이네요.

    참고로 Exchange 2007 의 경우에는 기본적으로 관리자라 하더라도 command 에서

    기존에 사용하던 것과 같이 SMTP telnet 연결로 테스트 하도록 기본 허용이 되어 있지 않습니다.

    2008년 12월 5일 금요일 오전 8:50