일일 보안이슈
Intel PROSet Wireless, Dll 하이재킹
Intel PROSet Wireless (19.40.0 기사 작성당시 최신버전) 패키지가 RpcRtRemote.dll 파일로 인해 시스템 레벨 DLL 하이제킹에 취약함이 발견됐다. 이 공격을 수행키 이 패키지가 설치된 폴더1에 악성 dll을 드랍하기 위한 CompMgmtLauncher.exe UAC Bypass 와 연계된 공격이 필요하다.
이 공격은 패키지 설치 폴더의 RegSrvc.exe (시스템 서비스)가 실행될 때 RpcRtRemote.dll 을 로드하며 발생한다. 서비스에 dll 하이재킹이 발생하기에 더욱 위협적. Win7 64bit PROSet Wireless Package 에서 태스트 완료.
기사원문
AppPath 이용한 Win10 UAC 우회
보안 연구원 Matt Nelson 은 Win10 의 UAC 우회에 App Paths 를 이용한 기법을 소개했다. 지난 몇 개월간 Nelson 은 기타 다른 UAC 우회 기법들을 소개한 바 있다. 해당 기법들은 윈도우 이벤트 뷰어와 디스크 정리 도구를 활용한 방법 등이다. abusing Event Viewer, leveraging the Disk Cleanup utility
실제로 이 기법들은 러시아 항공 기관과 군시설을 대상으로 한 바 있는 Remocos RAT 과 Erebus ransomware 에서 사용된적이 있다. Win10 에서만 가능한 이 기법은 기존의 IFileOperation/DLL 하이재킹 방식의 접근법을 사용하지 않는다. WinOS 의 백업, 복구도구와 관련앴는 sdclt.exe 에 연관. (이 프로그램은 Win10 에서만 auto-elevate 돼)
Bypassing UAC using App Paths 보고서
기사원문
오래된 기법을 활용한 WinOS 의 사용자 세션 하이재킹
동일 로컬 PC의 어떤 계정이라도 로그인(?) 가능한 방법 소개. 해당 계정의 비밀번호가 없어도 세션 하이제킹이 가능. 모든 윈도우 버전에서 가능, 어떤 특별한 권한도 요구치 않는다. 윈도우가 제공하는 자체 기능인지, 보안결함인지는 아직 확실치 않아.
해당 PC에 물리적으로 접근 가능하거나 RDP 세션이 확보돼야지만 가능하단 전제조건.
보고서 원문
한국을 타겟으로 한 ‘Revenge’ 랜섬웨어 유포중
읽을거리
인텔 버그바운티, 최대 30,000$ 보상
잘못 설정된 RDP 세션 탈취방법
Zip Bomb
a.k.a decompression bomb or Zip of Death. AV 등을 무력화 시킬 수 있다곤 하지만, 과연…?
소개글
국내 신용카드 정보 유출 피해 사고
Read Alert 의 신용카드정보 유출피해사례 분석 보고서 (국문), 유출 형태, 현황, 내역 등에 대해 설명
분석보고서
- C:\Program Files\Common Files\Intel\WirelessCommon\ ↩
