일일 보안이슈
ExploitAlert
www.linuxoptic.com Admin Panel Bypass
wildmidi multiple vulnerabilities
Microsoft Windows 8.1 x64 RGNOBJ Integer Overflow MS16-098
Fakultas Teknologi Kelautan ITS, XSS
시놀로지 NAS, PhotoStation RCE 취약점
Synology Photo Station 6.7.3-3432 / 6.3-2967 에 존재하는 RCE 취약점. 여러 취약점의 결합으로 RCE가 가능하며 RCE 되는 최종권한은 uid=138862(PhotoStation) gid=138862(PhotoStation) groups=138862(PhotoStation) 와 같다. /volume1/@appstore/PhotoStation/photo/facebook 경로에서 웹쉘을 확인하면 될 듯. 아래는 취약점 내역. POC
- 파일업로드 취약점
- 가짜 인증 매커니즘으로 로그인
- 사용자 인증상태로 관리자권한 코드 실행
최초의 해킹피해 주민등록번호 변경 사례
기존은 가족관계등록사항의 변동이나 번호오류만 변경 가능. 지난 8일 행정안전부는 16건의 주민번호 변경신청에 대해 파밍악성코드에 피해입은 사람의 주민번호 변경이 허가돼… 기사원문
.Diablo6 변종으로 Locky 랜섬웨어 재등장
어느샌가 Cerber, Spora, GlobeImposter에 그 자리를 내준 Locky 가 현재 활발히 배포중. Racco42 는 .diablo6 란 확장자를 사용하는 Locky 랜섬웨어의 변종이 활발히 유포중인것을 포작. E 2017-08-09 (698).docx 와 같은 제목의 스팸메일로 유포중. 메일엔 vbs의 압축파일이 포함. 외부 서버에서 임시폴더로 Locky 랜섬웨어 본체를 다운로드 및 실행하는 역할을 한다. 기사원문
MS 지난 화요일 패치중 하나인 CVE-2017-8620 에 대한 상세 내용
CVE-2017-8620 은 윈도우즈 검색 서비스에 있는 RCE 취약점. 패치 전 모든 버전의 WinOS 가 영향. MS 직원인 Nicolas Joly 가 발견. 이 취약점에 대한 MS의 설명 전문은 아래와 같다. 요약하자면, RCE 취약점이고, 대상 PC에 접근 가능한 공격자가 Windows Search service 에 특정 메시지를 전송하면 상승권한으로 해당 PC를 제어할 수 있다는 것. 원격의 미인증 공격자가 SMB 연결로도 이 취약점을 발생시킬 수 있다.
A remote code execution vulnerability exists when Windows Search handles objects in memory. An attacker who successfully exploited this vulnerability could take control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
To exploit the vulnerability, the attacker could send specially crafted messages to the Windows Search service. An attacker with access to a target computer could exploit this vulnerability to elevate privileges and take control of the computer. Additionally, in an enterprise scenario, a remote unauthenticated attacker could remotely trigger the vulnerability through an SMB connection and then take control of a target computer.
WannaCry 사태와 마찬가지로 전파가능한 취약점이기에 더욱 영향력 있던 취약점. 빠른시일내에 패치 권고. 기사원문
북한 미사일 발사 후, Konni, Inexsmar 악성코드에 의한 공격 받아
알려지지않은 공격 그룹이 Konni 악성코드로 북한에 속한 기관을 공격했다. Konni 는 RAT 형 악성코드. 2017년 들어 이 악성코드를 이용한 이미 식별된 공격만 세 건에 달한다. Cisco Talos 에 따르면 지난 7월 6일, 북한이 미사일 실험을 한지 얼마 지나지 않은 날, 공격을 처음 식별했다고 한다. 자세한 내용은 기사원문 참고
