일일 보안이슈
윈7 32bit 커널스택 유저모드 노출 취약점
win32k!NtUserCreateWindowEx 함수를 이용한 커널영역의 비초기화 스택메모리를 유저모드에서 확인할 수 있는 취약점. POC1 POC2
ShadowBrokers 추가 0-day 제한된 공개예정
이번엔 모두에게 공개치 않고, 비용 지불시(Wine of Month Club 가입시) 매달 새로운 툴 공개받는 조건. 좋으면서 나쁜소식. 좋은 이유는 전체 공개 전 패치를 완료할 수 있기 때문이고, 나쁜 이유는 취약점들을 해당 벤더에 제공하는것이 아닌 돈받고 팔고 있기 때문. Wine of month club 에 가입한 누구에게라도 앞으로 아래와 같은 내용을 제공한다고 밝혔다. 기사원문
- 웹브라우저, 라우터, 스마트폰 익스플로잇
- Win10 을 포함한 OS 익스플로잇
- 은행과 Swift 제공업체의 유출 데이터
- 러시아, 중국, 이란, 북한 핵미사일 프로그램의 네트워크 정보
WannaCry 활동 전, 비트코인 채굴 봇 동일 취약점 사용
Proofpoint 의 Kafeine 에 따르면 WannaCry가 활동하기 적어도 이주일 전 비트코인 채굴 봇넷 Adylkuzz 가 윈도우즈 SMB 취약점(EternalBlue exploit)을 사용했다고 전했다. 이 악성코드는 동일 취약점을 이용했음에도 WannaCry 와 달리 랜섬웨어를 설치하거나 감염사실을 감염PC에 공지하지 않기에 알려지지 않고 있었다. 대신 비트코인과 비슷한 Monero 코인 채굴 봇을 설치한다.
Adylkuzz 는 어떤면에선 WannaCry 로부터 감염PC를 지켰다고 볼 수 있다. 감염시 SMB 포트를 차단토록 설계됐기 때문. 기사원문
Chrome 과 SCF 파일을 활용한 해쉬화된 윈도우 로그인정보 유출
DefenseCode 의 세르비아출신 연구원 Bosko Stankovic 은 두 가지 다른 기법을 이용한 해킹기술을 선보였다. SCF 파일(윈도우즈 익스플로러 명령어 일부를 지원하는 쉘명령어 파일)을 활용한 것이 그것. SCF 파일은 디스크에 저장시, 자신의 아이콘을 바꿔 보여준다는 점에서 LNK 파일과 비슷하다. MS는 LNK 파일이 로컬PC에 저장된 아이콘만 사용토록 제한되있어 문제될 것 없지만, SCF는 외부 리소스(원격서버라던지…)아이콘을 로드할 수 있단점에서 문제가 된다.
Bosko Stankovic은 특정 URL로 부터 아이콘 이미지를 로드하는 SCF 파일을 만들었다. 이 URL 에는 SMB 서버가 있다. PC가 SMB 서버에 있는 아이콘 로드를 시도하면 SMB 서버는 인증을 요청해 PC가 보낸 인증해쉬를 수집할 수 있다.
non-printable 문자 %0B로 인해 크롬은 response를 scf파일로 저장하고, 이로인해 PC는 위의 동작을 수행하게 된다. (원문으로 보세요) 기사원문
5억6천만개 비밀번호가 저장된 DB 유출
그 엄청난 규모면에서 “mother of all leaks” 로 명명. MacKeeper 에 따르면 과거 여러 다른 유출정보를 포함해, 여러 소스로부터 수집된 비밀번호로 보인다고. JSON 형태로 75GB에 이르는 양, 지난 10건의 유출사고(Dropbox, MySpace, Neopets, RiverCityMedia, Tumblr, MySpace, Lastfm) 정보를 포함. 기사원문
BTCWare 랜섬웨어 마스터 키 공개
해커의 RSA 개인키가 공개돼 이제 무료 복호화가 가능해졌다. checker123 이란 익명의 유저는 pastebin 을 통해 이 키를 공개. 기사원문
WordPress용 플러그인 다수, 임의 스크립트 실행 취약점
CVE-2017-2168, CVE-2017-2169, CVE-2017-2171
링크1, 링크2
읽을거리
EternalBlue, Metasploit 이식 완료
MS Malware Protect Engine 패치분석
얼마 전 이슈화된 MS Malware Protect Engine 에 존재하는 취약점(CVE-2017-0290)에 대한 패치관련 분석. 분석보고서
