일일 보안이슈
MS 도구를 통한 보안제품 하이재킹
Israel에 위치한 보안회사 Cybellum 의 연구원들은 공격자로 하여금 보안제품에 대한 모든 제어권한을 갖게 할 수 있는 공격기법을 밝혀냈다. DoubleAgent라고 명명된 이 공격은 Avast, AVG, Avira, Bitedefender, Trend Micro, Comodo, ESET, F-Secure, Kspersky, Malwarebytes, McAfee, Panda, Quick Heal, Symantec 을 포함한 여러 보안벤더의 제품에 영향을 끼친다. Cybellum 에 따르면 모든 벤더가 이를 패치하진 않았다고 밝혀.
공격은 MS Application Verifier 과 관련있다. 이 툴은 프로그래밍 에러를 쉽게 찾기 위해 MS에서 제공하는 도구. XP 부터 기본 설치상태로 배포된다.
이 툴은 소위 “verifier provider DLL” 을 대상 프로세스에 로드시키는것으로 동작한다. 레지스트리에 특정 프로세스에 대한 provider DLL 을 뜻하는 키에 DLL 경로를 설정하면, OS는 해당 DLL을 등록된 이름으로 모든 프로세스에 인젝션 시킨다.
Cybellum 에 따르면 이 과정을 통해 AV 나 기타 엔드포인트 보안제품에 악성 DLL 이 인젝션되고, 보안제품이 하이재킹 당할 수 있다고 밝혀. 대게 보안제품은 자가 보호장치들이 있지만, 이를 쉽게 우회할 수 있는 방법을 찾아냈다고 말했다.
관련 CVE
- CVE-2017-6186 (Bitdefender)
- CVE-2017-6417 (Avira)
- CVE-2017-5567 (Avast)
- CVE-2017-5566 (AVG)
- CVE-2017-5565 (Trend Micro)
워드프레스 플러그인 파일업로드 취약점
Zen App Mobile Native <=3.0 CVE-2017-6104
Wordpress Plugin webapp-builder v2.0 CVE-2017-1002002
Wordpress Plugin wp2android-turn-wp-site-into-android-app v1.1.4 CVE-2017-1002003
Wordpress Plugin mobile-app-builder-by-wappress v1.05 CVE-2017-1002001
Wordpress Plugin mobile-friendly-app-builder-by-easytouch v3.0 CVE-2017-1002000
中 최대 해커조직 홍커연맹, 28일 한국 웹사이트 총공격 예정
28일부터 31일까지 공격 예정…참여 해커 22일까지 모집중
디도스나 디페이스 공격 가능성…일부는 개인정보 유출 시도할 듯
지금부터 웹사이트 취약점 점검과 보안 모니터링 한층 강화해야
보안뉴스
ATM 해킹으로 2,500여개 카드정보 유출! 300만원 부정 인출
63개 ATM 해킹…대만에서 300만원 부정인출 성공. 사건발생 6일 만에 언론보도로 알려져…신속한 공개 등 적극 대처 어려웠나
보안뉴스
신종 랜섬웨어 LLTP, Venus Locker 재작성 한 것으로 보여
MalwareHunterTeam 에 의해 발견된 스패인어 구사자를 대상으로한 신종 랜섬웨어(LLTP Ranwomware 혹은 LLTP Locker)가 VenusLocker 의 소스코드를 재작성하여 만들어진 것으로 보인다. LLTP 랜섬웨어는 온라인/오프라인 모드로 동작이 나뉘어. 원본 확장자를 기준으로 암호화 후 확장자가 바뀌는것 또한 동일.
분석보고서
MS 의 Win10 사용 강제정책
새로운 인텔 CPU 카비레이크 등에서는 구버전 윈도우(7~ 8.1)를 설치할 수 없도록 강제. 윈도우7의 지원기한은 7은 2020년, 8.1은 2023년.
기사원문
300종 이상의 스위치 장비에서 TELNET 0-day 발견
Cisco는 위키리크스에서 최근 공개한 CIA 덤프 Vault 7 에서 300종류 이상의 스위치 장비에서 발생하는 치명적인 0-day IOS/IOS XE취약점을 발견했다. Cisco IOS 와 Cisco IOS XE 소프트웨어 안에 있는 CMP 처리코드에서 발생. 이 취약점 CVE-2017-3881 익스플로잇에 성공하면 원격의 미인증 사용자가 시스템을 재부팅시키거나 실행코드를 상승된 권한을 실행할 수 있다. 당장 패치하길 권고.
영향받는 장비목록 및 보고서
기사원문
