ProxyNotShell 이후 Exchange PowerShell 악용: Part 2 - 승인된 응용 프로그램 컬렉션
Exchange Server에서 CVE-2023-36756은 인증된 공격자가 악의적인 ApprovedApplicationCollection 개체를 역직렬화하여 원격 코드 실행을 허용합니다.ApprovedApplicationCollection 생성자는 공격자가 CAB 파일의 UNC 경로를 지정할 수 있도록 허용하여, extrac32.exe 유틸리티를 사용하여 추출됩니다.Extrac32.exe에는 패치되지 않은 경로 트래버설 취약점(ZDI-CAN-21499)이 포함되어 있어 공격자가 파일을 임의의 위치에 추출할 수 있습니다.이러한 취약점을 결합하면 공격자는 Exchange 서버의 특정 위치에 악의적인 CAB 파일을 포함하는 웹 쉘을 추출할 수 있습니다.Microsoft는 extrac32.exe의 경로 트래버설 취약점을 수정하지 않겠다고 선언했으며, 호출자의 책임으로 안전한 사용을 보장해야 한다고 주장합니다.페이로드는 ../../../../../../../../inetpub/wwwroot/poc.aspx라는 웹 쉘 이름이 있는 CAB 파일입니다.이 공격은 도메인 내부의 SMB 공유에 CAB 파일을 호스팅해야 합니다.이러한 취약점을 악용하면 공격자는 웹 쉘에 액세스하여 원격 코드를 실행할 수 있습니다.전체 악용 프로세스를 보여주는 데모도 있습니다.시리즈의 다음 블로그 포스트에서는 CVE-2023-36745, 즉 복잡한 RCE 취약점에 대해 다룰 것입니다. 이 취약점은 정교한 악용 체인을 필요로 합니다.