일일 보안이슈
GhostHook 공격기법, Windows PatchGuard 우회
보안연구원들이 윈도우즈 PatchGuard를 우회하고 커널영역에 악성함수를 후킹할 수 있는 새로운 공격기법 GhostHook 을 발표했다. 이를통해 난공불락으로 여겨졌던 64bit 커널영역에 루트킷을 설치할 수 있게 됐다. PatchGuard의 정식명칭은 Kernel Patch Protection(KPP), 3rd party 앱이 커널영역을 수정치 못하도록하는 윈도우즈 64bit 의 보안기능이다. 지속적으로 커널 주요 오브젝트(SSDT 등)를 모니터링하고, 원본코드로 복구시켜주는 역할을 한다. MS 는 이 기능을 2005년 WinXP 부터 제공키 시작했고, 이로인해 64bit 용 루트킷은 거의 찾아볼 수 없게됐따.
GhostHook 은 Intel CPU 의 특정 기능을 이용한다. 발표자료에 따르면, 디버깅 및 악성코드 실행 탐지의 목적으로, 현재 실행중인 소프트웨어에 대한 정보를 캡쳐하는, 전용 하드웨어를 사용하는 인텔의 특수 기능인, Intel Processor Trace(a.k.a Intel PT)를 사용하는 PC에서 이 기능을 사용할 수 있다고 한다. 보통의 경우라면, Intel PT 에 악성코드가 접근하기 위해선 PatchGuard 에 의해 보호받는 커널레벨 코드로의 접근이 반드시 필요하다. CyberArk 에 따르면 Intel PT 패킷 처리에 아주 작은 버퍼를 할당한다면, CPU 가 버퍼를 모두 소진하고 남은 오버플로우 코드를 처리하기 위해 PMI handler를 연다는 것을 발견했다. 문제는 PatchGaurd 가 이 PMI handler는 보호하지 않는다는 것. 공격자는 PMI Handler 를 통해 공격코드를 후킹 할 수 있다. Windows10에서도 동작. 기사원문과 CyberARK 발표자료
Exploit
Monoblog upload file vulnerability
Star Design BD – SQL Injection
Astrotech India – SQL Injection Vulnerability
OpenVPN RCE 취약점
OpenVPN 에서 RCE 를 포함한 네 개의 취약점이 발견됐다. 이는 올해 있었던 대규모 보안감사에도 밝혀지지 않은 취약점이라 더욱 논란이 된다. OpenVPN 은 가장 널리 사용되는 오픈소스 VPN 소프트웨어중 하나. 대게 연결 익명성을 요구하는곳에서 많이 사용된다. 가장 심각한 취약점은 CVE-2017-7521. OpenVPN 서버측에 영향을 끼치고 SSL 인증을 담당하는 extract_x509_extension() 함수에서 발생한다. 취약점은 원격의 인증된 공격자가 조작된 인증서를 전송함으로써 OpenVPN 서버측이 메모리를 double free 하도록 만들어 잠재넉으로 RCE로 연결될 수 있다. 다른 취약점은 CVE-2017-7520, CVE-2017-7508, CVE-2017-7522. 자세한 내용은 분석 보고서 와 기사원문 참고
오스트렐리아 도로 신호등, 과속방지카메라 WannaCry 로 인해 기능 정지
오스트렐리아의 라디오체널 3aw에 따르면 누군가 감염USB를 연결해 발생한 일로 추정된다고. 55여대의 과속방지 카메라가 다운됐으나 다행히 관리 서버는 WinOS 로 동작하지 않아 영향받지 않았다. 기사원문
돌아온 Locky 랜섬웨어
XP 와 Vista OS만을 대상. 윈도우 보안기능인 DEP(Data Execution Prevention) 가 Vista 이상의 OS에서 감염을 migigate 해 주기 떄문. Jaff 램섬웨어의 몰락과 관련있다는 내용. 기사원문
읽을거리
Top level Hacker가 러시아 출신이 많은 이유
러시아는 어릴 때부터 컴퓨터 관련된 공부를 가르치지만 정작 그들이 취업할 IT 회사는 많지 않다는 내용. 기사원문
