요약
Intel, AMD, ARM의 칩셋을 비롯한 많은 최신 프로세서 및 운영 체제에 영향을 주는 “예측 실행 부채널 공격” 이라는 공개적으로 보고된 취약성 종류가 확인되었습니다.
이러한 취약성이 고객을 공격하는 데 사용되었음을 나타내는 정보는 아직 입수되지 않은 상태입니다. 그러나 Microsoft는 칩 제조업체, 하드웨어 OEM, 앱 공급업체 같은 업계 파트너와 긴밀하게 협력하여 고객을 보호하기 위해 지속적으로 노력하고 있습니다. 제공되는 모든 보호 기능을 활용하려면 하드웨어나 펌웨어 및 소프트웨어를 업데이트해야 합니다. 여기에는 장치 OEM의 마이크로코드가 포함되며, 일부의 경우에는 바이러스 백신 소프트웨어 업데이트도 포함됩니다. Microsoft에서는 이러한 취약성을 완화할 수 있도록 다수의 업데이트를 출시했습니다. 취약성에 대한 자세한 내용은 Microsoft 보안 공지 ADV180002를 참조하세요. 일반적인 지침은 예측 실행 부채널 취약성 완화를 위한 지침을 참조하세요. 클라우드 서비스 보호를 위한 조치도 취했습니다. 자세한 내용은 다음 절을 참조하세요.
영향 받는 Exchange Server 버전
이러한 공격은 x64 기반 및 x86 기반 프로세서 시스템을 대상으로 하는 하드웨어 수준 공격이므로 이 문제는 지원되는 모든 버전의 Microsoft Exchange Server에 영향을 줍니다.
권장 사항
다음 표에서는 Exchange Server 고객을 위한 권장 조치를 설명합니다. 현재로서는 특정 Exchange 업데이트가 필요하지 않습니다. 그러나 항상 최신 Exchange Server 누적 업데이트 및 필요한 보안 업데이트를 실행하는 것이 좋습니다. 픽스를 프로덕션 환경에 배포하기 전에 일반적인 절차에 따라 픽스를 배포하여 새 이진 파일의 유효성을 검사하는 것이 좋습니다.
|
시나리오 |
설명 |
권장 사항 |
|
1 |
Exchange Server가 운영 체제 미설치 컴퓨터(가상 머신 없음)에서 실행되고 같은 운영 체제 미설치 컴퓨터에서 신뢰할 수 없는 다른 응용 프로그램 논리(응용 프로그램 계층)가 실행되지 않습니다.
|
일반적인 사전 프로덕션 유효성 검사 테스트를 완료한 후 모든 시스템 업데이트 및 Exchange Server 업데이트를 적용합니다. KVAS(Kernel Virtual Address Shadowing)를 사용하도록 설정할 필요는 없습니다(이 문서의 관련 절 참조). |
|
2 |
Exchange Server가 공용 호스팅 환경(클라우드)의 가상 머신에서 실행됩니다. |
Azure: Microsoft는 Azure를 위한 완화 작업에 대한 자세한 정보를 게시했습니다(자세한 내용은 KB 4073235 참조). 다른 클라우드 공급자: 해당 지침을 참조하세요. 게스트 VM(가상 머신)에 모든 OS 업데이트를 설치하는 것이 좋습니다. KVAS를 사용하도록 설정할지 여부는 이 문서의 뒷부분에 나오는 지침을 참조하세요. |
|
3 |
Exchange Server가 비공개 호스팅 환경의 가상 머신에서 실행됩니다. |
보안 모범 사례는 하이퍼바이저 보안 문서를 참조하세요. Windows Server 및 Hyper-V의 경우 KB 4072698을 참조하세요. 게스트 VM에 모든 OS 업데이트를 설치하는 것이 좋습니다. KVAS를 사용하도록 설정할지 여부는 이 문서의 뒷부분에 나오는 지침을 참조하세요. |
|
4 |
Exchange Server가 물리적 컴퓨터 또는 가상 머신에서 실행되며 같은 시스템에서 실행 중인 다른 응용 프로그램 논리와 격리되지 않습니다.
|
사용 가능한 최신 제품 업데이트 및 연관된 보안 업데이트를 배포하는 것이 좋습니다. KVAS를 사용하도록 설정할지 여부는 이 문서의 뒷부분에 나오는 지침을 참조하세요. |
성능 공지
모든 고객은 업데이트 적용 시 해당 환경의 성능을 직접 평가하는 것이 좋습니다.
여기에서 설명하는 취약성 유형에 대해 Microsoft가 제공하는 솔루션은 소프트웨어 기반 메커니즘을 사용하여 데이터에 대한 프로세스 간 액세스를 방지합니다. 모든 고객은 업데이트된 버전의 SQL Server 및 Windows를 설치하는 것이 좋습니다. Exchange 작업에 대한 Microsoft의 테스트 결과에 따르면 이 경우 성능에 미치는 영향이 최소화됩니다.
다양한 작업에 대해 KVAS(커널 가상 주소 섀도잉)의 효과를 측정했습니다. 일부 작업의 경우 성능이 두드러지게 저하되었습니다. Exchange Server는 KVAC를 사용하도록 설정할 경우 성능이 큰 폭으로 저하되는 작업 중 하나입니다. CPU 사용량 또는 I/O 사용량 패턴이 높게 나타나는 서버가 가장 많은 영향을 받을 것으로 예상됩니다. 프로덕션 환경에 배포하기 전에 프로덕션 환경과 유사한 랩 환경에서 테스트를 실행하여 KVAS 사용이 성능에 주는 영향을 평가하는 것이 좋습니다. KVAS를 사용하도록 설정하면 성능에 많은 영향을 주는 경우 같은 시스템에서 실행되는 신뢰할 수 없는 코드에서 Exchange Server를 격리하는 방식이 응용 프로그램에 더 효율적인 완화 방법인지 여부를 고려할 수 있습니다.
KVAS 외에도 분기 대상 주입 완화 하드웨어 지원(IBC)으로 인한 성능상의 영향과 관련된 자세한 내용은 여기에 자세히 나와 있습니다. Exchange Server를 실행 중이며 IBC 솔루션이 배포되어 있는 서버의 경우 IBC를 사용하도록 설정하면 큰 폭의 성능 저하가 발생할 수 있습니다.
하드웨어 공급업체가 마이크로코드 업데이트의 형태로 제품에 대한 업데이트를 제공할 것으로 예상하고 있습니다. Exchange에 대한 테스트 결과 마이크로코드 업데이트가 성능 저하를 가중시키는 것으로 나타났습니다. 성능 저하 정도는 마이크로코드 업데이트가 적용된 시스템의 구성 요소와 디자인에 따라 크게 달라집니다. 소프트웨어 기반이든 하드웨어 기반이든 어느 한 솔루션만으로는 이 유형의 취약성을 해결하기에 충분하지 않습니다. 프로덕션 환경에 적용하기 전에 시스템 디자인 및 성능의 다양성을 충분히 감안할 수 있도록 모든 업데이트의 성능을 평가하는 것이 좋습니다. Exchange 팀은 고객이 현재 성능 차이를 계산하기 위해 사용하는 사이징 계산기를 업데이트할 계획이 없습니다. 이 도구를 통해 계산한 결과에서는 이러한 문제에 대한 픽스와 관련된 성능상의 변경을 고려하지 않습니다. 앞으로도 계속해서 Microsoft와 고객의 사용 경험을 토대로 이 도구를 평가하고 필요하다고 판단될 경우 수정할 것입니다.
Microsoft는 정보가 마련되는 대로 이 절을 업데이트할 예정입니다.
커널 가상 주소 섀도잉 사용
Exchange Server는 물리적 시스템, 공용/비공개 클라우드 환경의 VM, Windows 운영 체제를 비롯한 많은 환경에서 실행됩니다. 환경에 관계없이 프로그램 자체는 물리적 시스템이나 VM에 있습니다. 물리적 환경인지 가상 환경인지에 관계없이 이 환경을 보안 경계라고 합니다.
경계 내의 모든 코드가 해당 경계의 모든 데이터에 액세스할 수 있다면 별도의 조치를 취할 필요가 없습니다. 그렇지 않은 경우 해당 경계는 다중 테넌트 방식입니다.이 문서에서 설명하는 취약성이 발생하면 해당 경계 내의 프로세스에서 실행되는 모든 코드가 경계 내의 다른 모든 데이터를 읽을 수 있게 됩니다. 따라서 경계 내에서 신뢰할 수 없는 코드를 실행하는 프로세스는 이러한 취약성을 이용해 다른 프로세스의 데이터를 읽을 수 있습니다.
다중 테넌트 경계의 신뢰할 수 없는 코드로부터 컴퓨터를 보호하려면 다음 작업 중 하나를 수행합니다.
-
신뢰할 수 없는 코드를 제거합니다.
-
KVAS를 설정하여 프로세스 간 읽기를 방지합니다. 이렇게 하면 성능에 영향이 발생합니다. 자세한 내용은 이 문서 앞부분에 나오는 절을 참조하세요.
Windows에서 KVAS를 사용하도록 설정하는 방법에 대한 자세한 내용은 KB 4072698을 참조하세요.
예제 시나리오(KVAS를 사용하는 것이 좋음)
시나리오 1
Azure VM을 통해 실행되는 서비스에서 신뢰할 수 없는 사용자가 제한된 권한으로 실행되는 JavaScript 코드를 전송할 수 있습니다. 같은 VM에서 Exchange Server가 신뢰할 수 없는 사용자가 액세스하지 않아야 할 데이터를 실행 및 관리하고 있습니다. 이 경우 두 엔터티가 서로에게 드러나지 않도록 하기 위해 KVAS가 필요합니다.
시나리오 2
Exchange Server를 호스트하는 온-프레미스 물리적 시스템에서 신뢰할 수 없는 타사 스크립트나 실행 파일이 실행될 수 있습니다. 이 경우 KVAS를 사용하도록 설정하여 Exchange 데이터가 스크립트나 실행 파일에 드러나지 않도록 해야 합니다.
참고 Exchange Server 내에서 확장성 메커니즘을 사용 중이라고 해서 Exchange Server가 자동으로 안전하지 않은 상태가 되는 것은 아닙니다. 각각의 종속성을 파악하여 신뢰한다면 이러한 메커니즘을 Exchange Server 내에서 안전하게 사용할 수 있습니다. 그뿐 아니라 올바르게 작동하려면 확장성 메커니즘이 필요할 수도 있는 다른 Exchange Server 기반 제품도 있습니다. 대신 사용할 때마다 코드를 파악했으며 신뢰할 수 있는지 여부를 확인하는 것이 좋습니다. 이 지침은 KVAS를 사용하도록 설정해야 하는 상황(성능에 더 큰 영향을 줌)인지 여부를 고객이 손쉽게 확인할 수 있도록 하기 위한 것입니다.
분기 대상 주입 완화(IBC) 하드웨어 지원 사용
IBC는 CVE 2017-5715(GPZ 공개 정보에는 스펙터(Spectre) 또는 “두 번째 변종”의 두 구성 요소 중 하나로도 나와 있음)로 인한 위험을 완화합니다.
Windows에서 KVAS를 사용하도록 설정하는 이러한 지침을 따르는 경우 IBC도 사용하도록 설정될 수 있습니다. 그러나 IBC의 경우 하드웨어 제조업체에서 제공하는 펌웨어 업데이트도 설치해야 합니다. 즉, 고객은 Windows에서 보호 기능을 사용하도록 설정하는 KB 4072698의 지침을 따라야 할 뿐 아니라 하드웨어 제조업체에서 업데이트도 받아서 설치해야 합니다.
예제 시나리오(IBC를 사용하는 것이 좋음)
시나리오 1
Exchange Server를 호스트하는 온-프레미스 물리적 시스템에서 신뢰할 수 없는 사용자가 임의의 JavaScript 코드를 업로드하고 실행할 수 있습니다. 이 시나리오에서는 프로세스 간 정보 공개를 방지하기 위해 IBC를 사용하는 것이 좋습니다.
IBC 하드웨어 지원이 제공되지 않는 경우에는 신뢰할 수 없는 프로세스와 신뢰할 수 있는 프로세스를 서로 다른 물리적 컴퓨터나 가상 머신으로 분리하는 것이 좋습니다.
신뢰할 수 없는 Exchange Server 확장성 메커니즘
Exchange Server에는 확장성 기능 및 메커니즘이 포함되어 있습니다. 이 중 다수는 Exchange Server를 실행 중인 서버에서 신뢰할 수 없는 코드가 실행되도록 허용하지 않는 API를 기반으로 합니다. 특정 상황에서 전송 에이전트 및 Exchange 관리 셸은 Exchange Server를 실행 중인 서버에서 신뢰할 수 없는 코드가 실행되도록 허용할 수 있습니다. 전송 에이전트를 제외하고 모든 경우에 확장성 기능은 사용 전에 인증을 요구합니다. 확장성 기능을 사용할 때는 가급적 최소한의 이진 파일 집합으로 제한된 확장성 기능을 사용하는 것이 좋습니다. 또한 서버 액세스를 제한하여 Exchange Server와 동일한 시스템에서 임의의 코드가 실행되지 않도록 하는 것이 좋습니다. 각 이진 파일을 신뢰할지 여부를 직접 결정하는 것이 좋습니다. 신뢰할 수 없는 이진 파일은 비활성화하거나 제거해야 합니다. 또한 관리 인터페이스가 인터넷에 노출되지 않도록 해야 합니다.
이 문서에서 설명하는 모든 타사 제품은 Microsoft와 무관한 제조업체의 제품입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.
